Определение перехватов в таблицах экспорта основных модулей ядра

Vba32 AntiRootkit проверяет таблицы экспорта основных модулей ядра на наличие перехватов путем подмены адресов экспортируемых функций на адреса функций-обработчиков руткита.

На наличие перехваченных функций проверяются:

  • таблица экспорта ndis.sys
  • таблица экспорта hal.dll
  • таблица экспорта ntoskrnl.exe

Vba32 AntiRootkit kernel hooks Определение перехватов в таблицах экспорта основных модулей
Определение перехватов в таблицах экспорта основных модулей ядра

Восстановление обнаруженных перехватов осуществляется при помощи кнопок Restore и Restore All.

Определение перехватов в таблицах экспорта основных модулей