· IAT/EAT hooking
· Detours
· CreateHookEx()
· Dll-injection
· PEB hooking
· Callbacks na ImageLoad, CreateProcess, CmCallback
· syscall table
· IDT
· DKOM
· KOH
· TLB poisoning
· Heap overflow
· Debug Registers
· VMM
· SMM
· BIOS/firmware/microcode
ESET NOD32 4.0.467.0 -
AppGuard 1.3.3.0 - Zabrania uruchamiania się wszystkim aplikacjom ładującym drivery.
MS Security Essentials 1.71.706 - sygnaturki easy hooker
GMER 1.0.14.14536 - IAT/EAT, detours, SSDT, DKOM
Kernel Detective v1.3 - DKOM, SSDT
Comodo Internet Security 3.13.121240.574 - IAT/EAT (dostęp do pamięci innego procesu), detours (dostęp do pamięci innego procesu), API (dostęp do pamięci innego procesu, hook), OSR_LOADER (dostęp do pamięci explorer.exe?)
AntiHooker 3.0.0.23 - SSDT (usunął hooka po cichu, driver nadal w pamięci)
Outpost Security Suite Pro 6.7.1 (2983.450.0714) - IAT/EAT (dostęp do pamięci innego procesu), detours (dostęp do pamięci innego procesu), API (dostęp do pamięci innego procesu), DKOM(driver load monit), SSDT(driver load monit)
Kaspersky Internet Security 9.0.0.736 - Kernel Detective 1.3.1 (zablokowany)
ANALIZA
implementacyjna (sygnaturki)
\/
skierowana na metody
behawioralna (konsystencja systemu)
heurystyczna (emulacja)
statystyczna
n0_05