Вызначэнне перахватаў SYSENTER

Інструкцыя SYSENTER прызначана для хуткага пераходу з карыстацкага рэжыму (Ring 3) у рэжым ядра (Ring 0), і, пачынальна з Windows XP, выкарыстоўваецца для хуткага выкліку сістэмных сэрвісаў.

SYSENTER перадае кіраванне на адрас, паказаны ў адным з Model-Specific Registers (MSRs). Некаторыя руткіты здольны мадыфікаваць MSR-рэгістры такім чынам, каб кіраванне атрымліваў не сістэмны апрацоўнік, а код руткіта.

Vba32 AntiRootkit правярае цэласнасць MSR-рэгістраў на ўсіх актыўных працэсарах.

Vba32 AntiRootkit sysenter Вызначэнне перахватаў SYSENTER
Вызначэнне перахопаў SYSENTER

Аднаўленне цэласнасці MSR-рэгістраў ажыццяўляецца пры дапамозе кнопак Restore і Restore All.

 

Вызначэнне перахватаў SYSENTER