| Определение перехватов SYSENTER |
|
Инструкция SYSENTER предназначена для быстрого перехода из пользовательского режима (Ring 3) в режим ядра (Ring 0), и, начиная с Windows XP, используется для быстрого вызова системных сервисов. SYSENTER передает управление по адресу,указанному в одном из Model-Specific Registers (MSRs). Некоторые руткиты способны модифицировать MSR-регистры таким образом, чтобы управление получал не системный обработчик, а код руткита. Vba32 AntiRootkit проверяет целостность MSR-регистров на всех активных процессорах.
 Определение перехватов SYSENTER Восстановление целостности MSR-регистров осуществляется при помощи кнопок Restore и Restore All. |