Вызначэнне перахватаў SYSENTER |
Інструкцыя SYSENTER прызначана для хуткага пераходу з карыстацкага рэжыму (Ring 3) у рэжым ядра (Ring 0), і, пачынальна з Windows XP, выкарыстоўваецца для хуткага выкліку сістэмных сэрвісаў. SYSENTER перадае кіраванне на адрас, паказаны ў адным з Model-Specific Registers (MSRs). Некаторыя руткіты здольны мадыфікаваць MSR-рэгістры такім чынам, каб кіраванне атрымліваў не сістэмны апрацоўнік, а код руткіта. Vba32 AntiRootkit правярае цэласнасць MSR-рэгістраў на ўсіх актыўных працэсарах. Аднаўленне цэласнасці MSR-рэгістраў ажыццяўляецца пры дапамозе кнопак Restore і Restore All. |