9.1. О технологии AVZ PM

Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов. Драйвер написан в строгом соответствии с MSDN и рекомендациями Microsoft для минимизации его воздействия на систему и снижения вероятности конфликта с другим антивирусным программным обеспечением.
 
Назначение:
·Мониторинг запуска/остановки процессов
·Мониторинг загрузки/выгрузки драйверов
·Ведение списков процессов и загруженных модулей пространства ядра, независимых от системных.
 
 
Собираемая драйвером информация используется различными системами AVZ:
·Антируткитом в ходе проверки системы. Если в системе доступен драйвер мониторинга, то собранные драйвером данные применяются для поиска маскирующихся процессов и драйверов, а так-же искажений в системных структурах (подмена PID, модификация имени модуля и т.п.)
·Диспетчером процессов AVZ - получаемые от драйвера сведения применяются для отображения маскирующихся процессов
·Диспетчером "Модули пространства ядра" - получаемые от драйвера сведения применяются для отображения маскирующихся драйверов
·Исследованием системы - получаемые от драйвера сведения применяются в ходе построения отчета по драйверам и модулям пространства ядра
 
Применение подобного драйвера является эффективным и документированным путем борьбы с многими DKOM руткитами. Как известно, основная проблема борьбы с DKOM руткитом состоит в том, что он модифицирует системные структуры в памяти и вносит в них заведомо ложную и некорректную информацию. Классический пример - модификация имени процесса и его PID в структуре EPROCESS, практикуемая многими DKOM руткитами. В результате при желании можно обнаружить маскирующийся процесс, но невозможно определить, откуда он запустился, каково имя исполняемого файла и реальный PID его процесса. Аналогично дело обстоит с драйверами - несложно обнаружить маскируемый драйвер в памяти, но практически невозможно вычислить его имя, поскольку грамотно построенный руткит просто уничтожит эту информацию в процессе маскировки. Мониторинг системных событий решает эту проблему - анализатор получает возможность опираться на собственные данные, а не на искаженные руткитом структуры ядра.
 
Совместимость
Драйвер мониторинга может применяться совместно с антируткитом и системой AVZ Guard AVZ, а так-же с антивирусными мониторами и HIPS системами других производителей.