La technologie est basée sur AVZPM Boot KernelMode pilote, qui a suivi le processus de lancement et les conducteurs de téléchargement. Le pilote a été écrit en stricte conformité avec les recommandations de Microsoft MSDN et pour minimiser son impact sur le système et réduire le risque de conflit avec les autres logiciels antivirus.

Objectif:
• démarrer le contrôle / l'arrêt des processus
• Suivi de chargement / déchargement des pilotes
• Maintien des listes de processus et de modules sont chargés dans l'espace noyau, indépendant du système.

Information du conducteur Collect est utilisé par les différents systèmes AVZ:
• rootkit dans le système de vérification. Si un système de surveillance pilote est disponible, le pilote a recueilli les données utilisées pour rechercher les processus masqués et des conducteurs, ainsi que des distorsions dans les structures du système (la substitution de la PID, a changé le nom du module, etc)
• gestionnaire de processus AVZ - dérivés de l'information du conducteur permet d'afficher les processus masqués
• Dispatcher "modules du noyau dans l'espace" - provenant de l'information du conducteur permet d'afficher le pilote masqué
• Enquête sur le système - provenant de l'information des conducteurs utilisés dans le rapport de construction sur les pilotes et modules dans l'espace du noyau

L'utilisation de ce pilote est une manière efficace et documenté pour lutter contre les rootkits DKOM nombreuses. Comme on le sait, le problème principal contre DKOM rootkit est qu'il modifie la structure de la mémoire et les fait connaître l'information fausse ou erronée. Exemple classique - changé le nom de processus et de son PID dans le EPROCESS structure, pratiqué par des rootkits DKOM nombreuses. En conséquence, si vous souhaitez être trouvé masquerading processus, mais il est impossible de déterminer comment il fonctionne, quel est le nom du fichier exécutable et le PID réelle de son processus. Similaire est le cas avec les pilotes - difficiles à détecter les conducteurs masqués dans la mémoire, mais presque impossible à calculer son nom, comme habilement construit un rootkit pour détruire cette information dans le processus de masquage. Les événements du système de surveillance permet de résoudre ce problème - l'analyseur est en mesure de compter sur leurs propres données, plutôt que la structure déformée du rootkit noyau.

Compatibilité

Surveillance pilote peut être utilisé en conjonction avec anti-rootkit et le système AVZ Garde AVZ, et ainsi de même avec anti-moniteurs du virus et les systèmes HIPS d'autres fabricants.