Вызначэнне перахопаў шляхам мадыфікацыі машыннага кода функцый

Для вызначэння і аднаўлення перахопаў метадам сплайсінга ў Vba32 AntiRootKit былі дададзены дызасэмблер і эмулятар каманд працэсара, якія дазваляюць праводзіць аналіз усяго кода функцыі (а не толькі першых байт).

Праводзіцца аналіз функцый KiFastCallEntry, функцый з табліц SSDT, Shadow SSDT, а таксама функцый у модулях: ntoskrnl.exe, hal.dll, ndis.sys. Вырабляецца аналіз і аднаўленне кода як экспартуемых, так і неэкспартыруемых функцый.

Vba32 AntiRootkit code modif hooks Вызначэнне перахопаў шляхам мадыфікацыі машыннага кода функцый
Вызначэнне перахопаў шляхам мадыфікацыі машыннага кода функцый

У якасці дадатковай інфармацыі ў поле Type паказваецца зрушэнне (у байтах) адносна пачатку функцыі, па якім размешчаны мадыфікаваны код і тып мадыфікацый (дэтэктуюцца каманды Jump, Call, Ret, Iret, Int (Int 3, Into) і іншыя).

Аднаўленне выяўленых перахопаў ажыццяўляецца пры дапамозе кнопак Restore і Restore All.

 

Вызначэнне перахопаў шляхам мадыфікацыі машыннага кода функцый