Слайд 2RootKit-віруси і методи їх виявлення
Слайд 4Модифікація машинного коду прикладної програми для перехоплення виклику функції
Слайд 6Перехоплення функцій LoadLibrary і GetProcAddress
Слайд 7Модифіковані методи перехоплення АРІ функцій
Слайд 8Модифікація програмного коду API функції
Слайд 9Основні задачі, які необхідно розв’язати при реалізації модуля виявлення вірусів-rootkit:
реалізувати метод примусового
завантаження програми в native-інтерфейсі;
реалізувати процедури відкриття каталогу і файлів в native-інтерфейсі (набір процедур обмежено бібліотекою ntdll.dll);
реалізувати приховування отриманого списку файлів від можливого втручання root-kit вірусом;
реалізувати порівняння списків файлів.
Слайд 10Схема роботи програмного модуля
виявлення вірусів rootkit
Слайд 11Завантаження програми
Зміна параметрів реєстру
Слайд 12Завантаження програми
Рядок завантаження програми через реєстр
Слайд 13Основні вікна роботи програми
Кодування командного файлу
⇓
Виконання перевірки файлів
⇓
Результат порівняння звітів про зміст
каталогів
Слайд 14Результат перевірки системних каталогів
Слайд 15Схема алгоритму порівняння змісту каталогів