Метады пошуку kernel-mode руткитов

У дадзенай версіі рэалізаваны наступныя метады пошуку kernel-mode руткітаў:

  •          пошук перахватаў SYSENTER;
  •          пошук перахватаў метадам замены адрасоў у табліцы SSDT;
  •          пошук перахватаў метадам замены адрасоў у табліцы Shadow SSDT;
  •          пошук перахватаў шляхам замены адрасоў у табліцы IDT;
  •          пошук мадыфікацый табліц экспарту асноўных модуляў ядра ядра (ndis.sys, hal.dll, ntoskrnl.exe);
  •          пошук перахватаў шляхам мадыфікацыі машыннага кода функцый (сплайсинг);
  •          пошук перахватаў шляхам замены адрасоў функцый-апрацоўнікаў IRP пакетаў;
  •          пошук перахватаў шляхам замены адрасоў функцый-апрацоўнікаў FastIO запытаў;
  •          пошук утоеных у памяці модуляў ядра. Калі аб’ект выяўлены як утоены, яму прысвойваецца статут Hidden in memory;
  •          пошук утоеных у памяці працэсаў. Калі аб’ект выяўлены як утоены, яму прысвойваецца статут Hidden in memory;
  •          пошук модуляў ядра, вобраз якіх на дыску не адпавядае вобразу ў памяці. Такому аб’екту прысвойваецца статут Modified image;
  •          Пошук усталяваных націфікатараў рэжыму ядра.

 

У якасці дапаможных метадаў рэалізаваны:

  •          праверка аўтазагрузкі;
  •          праверка драйвераў і сэрвісаў, прапісаных у рэестры;
  •          праверка антывірусным ядром усіх выяўленых аб’ектаў (файлаў працэсаў, элементаў аўтазагрузкі, загружаных драйвераў/сэрвісаў і модуляў ядра);
  •          праверка электронна-лічбавага подпісу ва ўсіх выяўленых аб’ектаў (файлаў працэсаў, элементаў аўтазагрузкі, загружаных драйвераў/сэрвісаў і модуляў ядра);
  •          выснова дадатковай інфармацыі з рэсурсаў файлаў.

 

Для нейтралізацыі руткітаў у сістэме распрацаваны наступныя функцыі:

  •          аднаўленне перахопаў у табліцы SSDT;
  •          аднаўленне перахопаў у табліцы Shadow SSDT;
  •          аднаўленне перахопаў у табліцы IDT;
  •          аднаўленне перахопаў у табліцах экспарту асноўных модуляў ядра (ndis.sys, hal.dll, ntoskrnl.exe);
  •          аднаўленне перахопаў шляхам мадыфікацыі машыннага кода функцый;
  •          аднаўленне перахопаў SYSENTER;
  •          выключэнне паказаных аб’ектаў са спісу аўтазагрузкі;
  •          актывацыя/дэактывацыя паказаных драйвераў/сэрвісаў з рэестру;
  •          капіраванне паказаных файлаў у карантын на ранніх этапах загрузкі сістэмы;
  •          выдаленне паказаных файлаў на ранніх этапах загрузкі сістэмы;
  •          праверка і выдаленне файлаў autorun.inf;
  •          выдаленне ўсталяваных націфікатараў  рэжыму ядра.

 

Для забеспячэння зваротнай сувязі з карыстальнікам рэалізавана функцыя збору інфармацыі пра стан сістэмы.

Нататка: Пошук user-mode руткітаў не ажыццяўляецца.

 

Метады пошуку kernel-mode руткитов