- 774 Просмотра
- Обсудить
Модификация таблицы импорта
Пожалуй, именно эта методика сокрытия претендует на звание классической. Технология такой маскировки заключается в следующем: rootkit находит в памяти таблицу импорта исполняемой программы и корректирует адреса интересующих его функций на адреса своих перехватчиков. Кажется, что все достаточно просто.
В момент вызова API‑функции программа считывает ее адрес из таблицы импорта и передает по этому адресу управление. Поиск таблицы импорта в памяти несложен, поскольку для этого уже известны специализированные API‑функции, позволяющие работать с образом программы в памяти.
Данная методика достаточно универсальна, к тому же она проста в реализации, но у нее есть существенный недостаток – при таком механизме перехватываются только статически импортируемые функции.Никто не решился оставить свой комментарий.
Будь-те первым, поделитесь мнением с остальными.
Будь-те первым, поделитесь мнением с остальными.