Вызначэнне перахопаў у табліцах экспарту асноўных модуляў ядра

Vba32 AntiRootkit правярае табліцы экспарту асноўных модуляў ядра на наяўнасць перахопаў шляхам падмены адрасоў экспартуемых функцый на адрасы функцый-апрацоўнікаў руткіта.  

 

На наяўнасць перахопленых функцый правяраюцца:

  • табліца экспарту ndis.sys
  • табліца экспарту hal.dll
  • табліца экспарту ntoskrnl.exe

 

Vba32 AntiRootkit kernel hooks Вызначэнне перахопаў у табліцах экспарту асноўных модуляў
 Вызначэнне перахопаў у табліцах экспарту асноўных модуляў ядра

Аднаўленне выяўленых перахопаў ажыццяўляецца пры дапамозе кнопак Restore і Restore All.

 

Вызначэнне перахопаў у табліцах экспарту асноўных модуляў