Forum LiberKey
https://www.liberkey.com/forum/
[PL] AVZ Antiviral Toolkit: Antivirus (basé sur Kaspersky)
Page 2 sur 2
Re:[PL] AVZ Antiviral Toolkit: Antivirus (basé sur Kaspersky)
Posté: 04 Septembre 2009, 10:52Bonjour skybird,
En effet, le module AVZGuard sert à bloquer toutes modifications du système afin d'éviter qu'un malware ne se "régénère" lors du nettoyage.
En revanche, le module AVZPM (qui est un driver) semble être un module de protection temps réel.
Son but est de monitorer les processus afin de s'assurer que les malwares ne puissent pas les modifier.
Je dis semble car j'ai un peu de mal à comprendre le Russe
Les traductions faites par les outils de traduction ne sont pas super pour le Russe.
Si quelqu'un à plus d'infos, je suis preneur.
En effet, le module AVZGuard sert à bloquer toutes modifications du système afin d'éviter qu'un malware ne se "régénère" lors du nettoyage.
En revanche, le module AVZPM (qui est un driver) semble être un module de protection temps réel.
Son but est de monitorer les processus afin de s'assurer que les malwares ne puissent pas les modifier.
Je dis semble car j'ai un peu de mal à comprendre le Russe
Les traductions faites par les outils de traduction ne sont pas super pour le Russe.
Si quelqu'un à plus d'infos, je suis preneur.
Re:[PL] AVZ Antiviral Toolkit: Antivirus (basé sur Kaspersky
Posté: 04 Septembre 2009, 13:38Sinon, on peut trouver la doc du programme (toujours en Russe) ici :
http://z-oleg.com/secur/avz_doc/
Avec les outils de traduction de Google on arrive quand même à comprendre un peu le fonctionnement de la bête.
Voici ce que l'on obtient sur AVPZN:
Cet outil à vraiment l'air très intéressant en tout cas.
Je l'ai découvert depuis peu et je pense qu'avec un peu de maitrise il peut vraiment être utile en cas d'infection.
http://z-oleg.com/secur/avz_doc/
Avec les outils de traduction de Google on arrive quand même à comprendre un peu le fonctionnement de la bête.
Voici ce que l'on obtient sur AVPZN:
La technologie est basée sur AVZPM Boot KernelMode pilote, qui a suivi le processus de lancement et les conducteurs de téléchargement. Le pilote a été écrit en stricte conformité avec les recommandations de Microsoft MSDN et pour minimiser son impact sur le système et réduire le risque de conflit avec les autres logiciels antivirus.
Objectif:
• démarrer le contrôle / l'arrêt des processus
• Suivi de chargement / déchargement des pilotes
• Maintien des listes de processus et de modules sont chargés dans l'espace noyau, indépendant du système.
Information du conducteur Collect est utilisé par les différents systèmes AVZ:
• rootkit dans le système de vérification. Si un système de surveillance pilote est disponible, le pilote a recueilli les données utilisées pour rechercher les processus masqués et des conducteurs, ainsi que des distorsions dans les structures du système (la substitution de la PID, a changé le nom du module, etc)
• gestionnaire de processus AVZ - dérivés de l'information du conducteur permet d'afficher les processus masqués
• Dispatcher "modules du noyau dans l'espace" - provenant de l'information du conducteur permet d'afficher le pilote masqué
• Enquête sur le système - provenant de l'information des conducteurs utilisés dans le rapport de construction sur les pilotes et modules dans l'espace du noyau
L'utilisation de ce pilote est une manière efficace et documenté pour lutter contre les rootkits DKOM nombreuses. Comme on le sait, le problème principal contre DKOM rootkit est qu'il modifie la structure de la mémoire et les fait connaître l'information fausse ou erronée. Exemple classique - changé le nom de processus et de son PID dans le EPROCESS structure, pratiqué par des rootkits DKOM nombreuses. En conséquence, si vous souhaitez être trouvé masquerading processus, mais il est impossible de déterminer comment il fonctionne, quel est le nom du fichier exécutable et le PID réelle de son processus. Similaire est le cas avec les pilotes - difficiles à détecter les conducteurs masqués dans la mémoire, mais presque impossible à calculer son nom, comme habilement construit un rootkit pour détruire cette information dans le processus de masquage. Les événements du système de surveillance permet de résoudre ce problème - l'analyseur est en mesure de compter sur leurs propres données, plutôt que la structure déformée du rootkit noyau.
Compatibilité
Surveillance pilote peut être utilisé en conjonction avec anti-rootkit et le système AVZ Garde AVZ, et ainsi de même avec anti-moniteurs du virus et les systèmes HIPS d'autres fabricants.
Cet outil à vraiment l'air très intéressant en tout cas.
Je l'ai découvert depuis peu et je pense qu'avec un peu de maitrise il peut vraiment être utile en cas d'infection.