Определяне на прихващане на SYSENTER

Инструкцията SYSENTER е предназначена за бърз преход от потребителски режим (Ring 3) в режим на ядро (Ring 0), и, започвайки от Windows XP се ползва за бързо извикване на системни сървиси..

SYSENTER предава управлението към адрес, указан в един от Model-Specific Registers (MSRs). Някои руткитове са способни да модифицират MSR-регистрите по такъв начин, че управлението да се получи не от системния обработчик, а от кода на руткита.

Vba32 AntiRootkit проверява целостта на MSR-регистрите на всички активни процесори.

Vba32 AntiRootkit sysenter Определяне на прихващане на SYSENTER
Определяне на прихващания SYSENTER

Възстановяването на цялостта на MSR-регистрите се извършва с помощта на бутони Restore и Restore All.

 

Определяне на прихващане на SYSENTER