Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (40
перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Перехватчик kernel32.dll:GetProcAddress (40
нейтрализован
Функция kernel32.dll
oadLibraryA (57
перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Перехватчик kernel32.dll
oadLibraryA (57
нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll
oadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0
Перехватчик kernel32.dll
oadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll
oadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FD8
Перехватчик kernel32.dll
oadLibraryExW (580) нейтрализован
Функция kernel32.dll
oadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FC4
Перехватчик kernel32.dll
oadLibraryW (581) нейтрализован
Детектирована модификация IAT: LoadLibraryA - 7C882F9C<>7C801D77
Адрес в IAT восстановлен: LoadLibraryA
Детектирована модификация IAT: GetProcAddress - 7C882FEC<>7C80AC28
Адрес в IAT восстановлен: GetProcAddress
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D8C9AA->7D1E0080
Перехватчик user32.dll:RegisterRawInputDevices (546) нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 86536108 (297)
>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->86536108(297))
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен