摘要 |
Способ обнаружения вредоносного программного обеспечения в ядре операционной системы, установленной на компьютере, заключающийся в том, чтоформируют точку прерывания при выполнении системного вызова пользовательского приложения на возникновение передачи управления по адресу в ядре загруженной ОС,проводят проверку структуры данных загруженной операционной системы, выполняя следующие действия:определяют адрес команды в оперативной памяти компьютера, которой будет передано управление в ходе системного вызова;проверяют принадлежность адресов команд, выполняемых в ходе системного вызова, к нормальному диапазону адресов ядра и модулей ядра операционной системы в оперативной памяти;судят о наличии вредоносного программного обеспечения при отсутствии принадлежности адреса команды к нормальному диапазону адресов. |