Восстановление SST
Для сокрытия своего присутствия в системе, малварь нередко внедряется в ядро системы и перехватывает один или несколько сервисов, например, функции NtQuerySystemInformation, про важность которой мы уже говорили. Ловить малварь на такой системе все равно, что бороться с ком. партией под ее руководством.
Дизассемблирование NTDDLL.DLL показывает, что большинство низкоуровневых функций реализованы как "переходники" к функциям ядра, интерфейс с которым осуществляется либо посредством прерывания INT2Eh (NT, W2K), либо машинной командой SYSENTER (XP и выше).
.text:77F95BBD public ZwQuerySystemInformation
.text:77F95BBD ZwQuerySystemInformation proc near
.text:77F95BBD arg_0 = byte ptr 4
.text:77F95BBD
.text:77F95BBD B8 97 00 00 00 mov eax, 97h ; NtQuerySystemInformation
.text:77F95BC2 8D 54 24 0 lea edx, [esp+arg_0]
.text:77F95BC6 CD 2E int 2Eh
.text:77F95BC8 C2 10 00 retn 10h
.text:77F95BC8 ZwQuerySystemInformation endp
