8.3. AVZGuard и антируткит
После включения AVZGuard антируткит режима ядра блокируется, а антируткит режима UserMode продолжает нормальную работу. Особенностью AVZGuard является возможность распространения действия UserMode антируткита AVZ на другие процессы. Для этого необходимо действовать по следующей схеме:
1.
|
Закрыть все приложения
|
2.
|
Запустить AVZ, включить противодействие руткитам UserMode и KernelMode и пролечить систему
|
3.
|
Включить AVZGuard (это приведет к автоматическому отключению антируткита KernelMode)
|
4.
|
Для надежности повторно пролечить систему (при этом в сущности производится проверка, удалены ли перехваты UserMode из процесса AVZ)
|
5.
|
При помощи меню "AVZGuard\Запустить приложение как доверенное" запустить любое приложение, которое мы хотим запустить в защищенном от руткита режиме. С высокой степенью вероятности запущенное таким образом приложение не будет поражено руткитом.
|
Эту особенность очень удобно применять для запуска по описанному выше алгоритму антивирусных приложений, которые не оснащены функцией защиты от руткитов. Экспериментально установлено, что по описанному алгоритму можно нейтрализовать HackerDefender и аналогичные ему руткиты UserMode.