Определяне на прихващане чрез модифициране на машинния код на функции

За определяне и възстановяване на прихващания чрез метода сплайсинг в Vba32 AntiRootKit са добавени дизасемблер и емулатор на команди на процесора, позволяващи извършване на анализ на целия код на функциите (а не само на първите байтове).

Извършва се анализ на функциите KiFastCallEntry, функциите от таблици SSDT, Shadow SSDT, а също така функциите в модули: ntoskrnl.exe, hal.dll, ndis.sys. Извършва се анализ и възстановяване на кода както на експортируемите, така и на неекспортируемите функции.

Vba32 AntiRootkit code modif hooks Определяне на прихващане чрез модифициране на машинния код на функции
Определяне на прихващания чрез модифициране на машинния код на функциите

В качеството на допълнителна информация в полето Type се посочва отместването (в байтове) относително началото на функцията, на което е разположен модифицирания код и типа на модификация (детектират се команди Jump, Call, Ret, Iret, Int (Int 3, Into) и други).

Възстановяването на откритите прихващания се извършва с помощта на бутони Restore и Restore All.

 

Определяне на прихващане чрез модифициране на машинния код на функции