METHOD OF CREATING A SYSTEM CALL HANDLER

METHOD OF CREATING A SYSTEM CALL HANDLER

FIELD: information technology.SUBSTANCE: invention relates to antivirus technologies, particularly to a method of creating handler system calls. Way to contact modified system call handler of system calls in Windows operating system consists of steps where: localized code of original handler system...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: Levchenko Vyacheslav Ivanovich, Kumagin Igor YUrevich, YUdin Maksim Vitalevich, Tarasenko Aleksandr Sergeevich
Format: Patent
Sprache:eng ; rus
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:FIELD: information technology.SUBSTANCE: invention relates to antivirus technologies, particularly to a method of creating handler system calls. Way to contact modified system call handler of system calls in Windows operating system consists of steps where: localized code of original handler system calls; modified system call handler is created by memory allocation and copying code to original handler additionally, the next step is performed: changing the address of the original handler on the address of the modified handler; intercepted call processor instructions associated with a system call, using a hypervisor; saved value register MSR using a hypervisor for its return process Patch Guard when reading the last value of register MSR for correct work of the operating system; one contacts a modified system call for interception operations associated with removal of images of the screen.EFFECT: technical result of this invention is providing the possibility of processing system calls.1 cl, 7 dwg Изобретение относится к антивирусным технологиям, а более конкретно к способу создания обработчика системных вызовов. Технический результат настоящего изобретения заключается в обеспечении возможности обработки системных вызовов. Способ вызова модифицированного обработчика системных вызовов в операционной системе Windows содержит этапы, на которых: локализуют код оригинального обработчика системных вызовов; создают модифицированный обработчик системных вызовов путем выделения памяти и копирования туда кода оригинального обработчика, при этом дополнительно выполняют следующий шаг: подменяют адрес оригинального обработчика на адрес модифицированного обработчика; перехватывают вызов инструкций процессора, связанных с системным вызовом, с помощью гипервизора; сохраняют значение регистра MSR с помощью гипервизора для возврата его процессу Patch Guard в случае считывания последним значения регистра MSR для корректной работы операционной системы; вызывают модифицированный обработчик системных вызовов для перехвата операций, связанных со снятием снимков экрана. 7 ил.