|
Вызначэнне IDT перахопаў |
|
Табліца дыспетчарызацыі перапыненняў (IDT) злучае кожны вектар перапынення/выключэння з дэскрыптарам працэдуры-апрацоўніка перапынення/выключэння. Некаторыя руткіты здольныя змяняць адрасы апрацоўнікаў перапыненняў/выключэнняў на адрасы сваіх працэдур – усталёўваць IDT перахопы. Vba32 AntiRootKit правярае цэласнасць табліцы дыспетчарызацыі перапыненняў. Пры выяўленні перахопу выводзіцца імя перахопленай працэдуры-апрацоўніка, яе парадкавы нумар у табліцы IDT, сапраўдны і бягучы адрасы працэдуры, а таксама імя модуля, які ажыццявіў перахоп. Аднаўленне выяўленых перахопаў ажыццяўляецца пры дапамозе кнопак Restore і Restore All. |
