1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8057065D->F7E11CB6), перехватчик не определен
Функция NtCreateThread (35) перехвачена (8058E63F->F7E11CAC), перехватчик не определен
Функция NtDeleteKey (3F) перехвачена (805952BE->F7E11CBB), перехватчик не определен
Функция NtDeleteValueKey (41) перехвачена (80592D50->F7E11CC5), перехватчик не определен
Функция NtEnumerateKey (47) перехвачена (80570D64->F772DCA2), перехватчик sprb.sys
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F772E030), перехватчик sprb.sys
Функция NtLoadKey (62) перехвачена (805AED5D->F7E11CCA), перехватчик не определен
Функция NtOpenKey (77) перехвачена (80568D59->F77100C0), перехватчик sprb.sys
Функция NtOpenProcess (7A) перехвачена (805717C7->F7E11C9
, перехватчик не определен
Функция NtOpenThread (80) перехвачена (8058A1BD->F7E11C9D), перехватчик не определен
Функция NtQueryKey (A0) перехвачена (80570A6D->F772E10
, перехватчик sprb.sys
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F772DF8
, перехватчик sprb.sys
Функция NtReplaceKey (C1) перехвачена (8064F0FA->F7E11CD4), перехватчик не определен
Функция NtRestoreKey (CC) перехвачена (8064EC91->F7E11CCF), перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (80572889->F7E11CC0), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805822E0->F7E11CA7), перехватчик не определен
Проверено функций: 284, перехвачено: 16, восстановлено: 0