Контрразведка с soft-ice в руках

       

Восстановление SST


Для сокрытия своего присутствия в системе, малварь нередко внедряется в ядро системы и перехватывает один или несколько сервисов, например, функции NtQuerySystemInformation, про важность которой мы уже говорили. Ловить малварь на такой системе все равно, что бороться с ком. партией под ее руководством.

Дизассемблирование NTDDLL.DLL показывает, что большинство низкоуровневых функций реализованы как "переходники" к функциям ядра, интерфейс с которым осуществляется либо посредством прерывания INT2Eh (NT, W2K), либо машинной командой SYSENTER (XP и выше).

.text:77F95BBD       public ZwQuerySystemInformation

.text:77F95BBD       ZwQuerySystemInformation proc near

.text:77F95BBD       arg_0  = byte ptr  4

.text:77F95BBD

.text:77F95BBD B8 97 00 00 00     mov    eax, 97h      ; NtQuerySystemInformation

.text:77F95BC2 8D 54 24 0  lea    edx, [esp+arg_0]

.text:77F95BC6 CD 2E       int    2Eh

.text:77F95BC8 C2 10 00    retn   10h

.text:77F95BC8       ZwQuerySystemInformation endp



Содержание раздела