Підсистема AVZPM - Про технологію
Технологія AVZPM заснована на KernelMode Boot драйвері, який здійснює стеження за запуском процесів та завантаженням драйверів. Драйвер написаний у суворій відповідності до MSDN та рекомендацій Microsoft для мінімізації його впливу на систему та зниження ймовірності конфлікту з іншим антивірусним програмним забезпеченням.
• Моніторинг запуску/зупинки процесів
• Моніторинг завантаження/вивантаження драйверів
• Ведення списків процесів та завантажених модулів простору ядра, незалежних від системних.
Інформація, що збирається драйвером, використовується різними системами AVZ:
• Антируткітом під час перевірки системи. Якщо в системі доступний драйвер моніторингу, то зібрані драйвером дані застосовуються для пошуку процесів і драйверів, що маскуються, а також спотворень в системних структурах (підміна PID, модифікація імені модуля і т.п.)
• Диспетчером процесів AVZ - відомості, що отримуються від драйвера, застосовуються для відображення процесів, що маскуються.
• Диспетчером "Модулі простору ядра" - відомості, що отримуються від драйвера, застосовуються для відображення драйверів, що маскуються.
• Дослідженням системи - відомості, що отримуються від драйвера, застосовуються в ході побудови звіту з драйверів і модулів простору ядра
Застосування такого драйвера є ефективним і документованим шляхом боротьби з багатьма DKOM руткітами. Як відомо, основна проблема боротьби з DKOM руткітом полягає в тому, що він модифікує системні структури в пам'яті і вносить в них свідомо неправдиву та некоректну інформацію. Класичний приклад - модифікація імені процесу та його PID у структурі EPROCESS, що практикується багатьма DKOM руткітами. В результаті при бажанні можна виявити процес, що маскується, але неможливовизначити, звідки він запустився, яке ім'я файлу, що виконується, і реальний PID його процесу. Аналогічно справа з драйверами - нескладно виявити маскований драйвер у пам'яті, але практично неможливо обчислити його ім'я, оскільки грамотно побудований руткіт просто знищить цю інформацію в процесі маскування. Моніторинг системних подій вирішує цю проблему – аналізатор отримує можливість спиратися на власні дані, а не на спотворені руткітом структури ядра.
Драйвер моніторингу може застосовуватися спільно з антируткітом і системою AVZ Guard AVZ, а також з антивірусними моніторами та системами HIPS інших виробників.