Vba32 AntiRootkit

Для определения и восстановления перехватов методом сплайсинга в Vba32 AntiRootKit были добавлены дизассемблер и эмулятор команд процессора, позволяющие проводить анализ всего кода функции (а не только первых байт).

Проводится анализ функций KiFastCallEntry, функций из таблиц SSDT, Shadow SSDT, а также функций в модулях: ntoskrnl.exe, hal.dll, ndis.sys. Производится анализ и восстановление кода как экспортируемых, так и неэкспортируемых функций.

Определение перехватов путем модификации машинного кода функций

В качестве дополнительной информации в поле Type указывается смещение (в байтах) относительно начала функции, по которому расположен модифицированный код и тип модификаций (детектируются команды Jump, Call, Ret, Iret, Int (Int 3, Into) и другие).

Восстановление обнаруженных перехватов осуществляется при помощи кнопок Restore и Restore All.