|
Определяне на прихващане на SYSENTER |
|
Инструкцията SYSENTER е предназначена за бърз преход от потребителски режим (Ring 3) в режим на ядро (Ring 0), и, започвайки от Windows XP се ползва за бързо извикване на системни сървиси.. SYSENTER предава управлението към адрес, указан в един от Model-Specific Registers (MSRs). Някои руткитове са способни да модифицират MSR-регистрите по такъв начин, че управлението да се получи не от системния обработчик, а от кода на руткита. Vba32 AntiRootkit проверява целостта на MSR-регистрите на всички активни процесори. Възстановяването на цялостта на MSR-регистрите се извършва с помощта на бутони Restore и Restore All. |
