>>> Врезка как работает Win2K/XP SDT Restore
Хорошим примером использования доступа к физической памяти "честными" программами является утилита SDT Restore, копию которой можно бесплатно скачать с http://www.security.org.sg/code/sdtrestore.html. Как и следует из ее названия, она занимается тем, что восстанавливает SDT– Service Description Table, содержащую указатели на системные вызовы, которые могут быть перехвачены злоумышленником для сокрытия своего присутствия в системе, то есть стелсирования. Многие root-kit'ы так и делают. Они подменяют оригинальные вызовы на свои, и система теряет способность обнаруживать создаваемые ими файлы, процессы, сетевые соединения и т. д.
В ms-dos для борьбы со Stealth-вирусами обычно прибегали с системной дискете, но те времена уже давно прошли и хотя Windows в принципе можно загрузить и с лазерного диска (например, Windows PE) или с дополнительно винчестера, такой подход не слишком-то удобен, хотя бы уже потому, что требует перезагрузки, а сервера лучше не перезагружать. Проще (хотя и не столь надежно) восставить SDT через PhysicalMemory. И хотя root-kit может легко отследить обращение к ней (для этого ему достаточно перехватить NtOpenSection), все известные мне зловредные программы этим еще не занимаются и потому они могут быть легко обезврежены. Во всяком случае пока.
Подробнее о методах маскировки и борьбы можно прочитать в статье "Hide'n'Seek — Anatomy of Stealth Malware" (http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-erdelyi/bh-eu-04-erdelyi-paper.pdf).
