Вызначэнне перахопаў шляхам мадыфікацыі машыннага кода функцый |
Для вызначэння і аднаўлення перахопаў метадам сплайсінга ў Vba32 AntiRootKit былі дададзены дызасэмблер і эмулятар каманд працэсара, якія дазваляюць праводзіць аналіз усяго кода функцыі (а не толькі першых байт). Праводзіцца аналіз функцый KiFastCallEntry, функцый з табліц SSDT, Shadow SSDT, а таксама функцый у модулях: ntoskrnl.exe, hal.dll, ndis.sys. Вырабляецца аналіз і аднаўленне кода як экспартуемых, так і неэкспартыруемых функцый. У якасці дадатковай інфармацыі ў поле Type паказваецца зрушэнне (у байтах) адносна пачатку функцыі, па якім размешчаны мадыфікаваны код і тып мадыфікацый (дэтэктуюцца каманды Jump, Call, Ret, Iret, Int (Int 3, Into) і іншыя). Аднаўленне выяўленых перахопаў ажыццяўляецца пры дапамозе кнопак Restore і Restore All. |