Перехват вызовов API (хукинг)

Злоумышленники могут перехватывать функции программного интерфейса приложений (API), используемые процессами, для перенаправления вызовов в целях выполнения кода и повышения привилегий. Windows-процессы нередко обращаются к этим API-функциям для выполнения задач, требующих использования повторно применяемых системных ресурсов. API-функции Windows, как правило, хранятся в динамически подключаемых библиотеках (DLL) в виде экспортируемых функций. Один из видов хукинга, наблюдаемых в средах АСУ ТП, предполагает перенаправление вызовов к этим функциям посредством перехвата таблицы адресов импорта (IAT). Хукинг IAT основан на модификации таблицы IAT процесса, в которой хранятся указатели на импортируемые API-функции.