Данная работа посвящена разработке подхода выявления вредоносного программного обеспечения, функционирующего в режиме SMM. Предметом исследования является выявление вредоносного программного обеспечения в режиме SMM. Задачи, которые решались в ходе исследования: 1. Изучить режим работы SMM. 2. Изучить подходы к построению вредоносного программного обеспечения в режиме SMM. 3. Исследовать методы анализа кода SMM и выявления вредоносного программного обеспечения в режиме SMM. 4. Разработать подход к выявлению вредоносного программного обеспечения в режиме SMM на основе динамического анализа. 5. Провести тестирование работоспособности разработанного подхода. 6. Работа была проведена на базе широкого списка профильных научных статей. Реализация подхода осуществлялось с использованием языка программирования C, на базе среды разработки EDKII. В результате были проанализированы подходы к построению вредоносного программного обеспечения в режиме SMM, методы анализа кода режима SMM и методы выявления ВПО, функционирующего в данном режиме. На основе проведенного анализа были поставлены критерии к разрабатываемому подходу. С учетом поставленных критериев разработан подход к выявлению вредоносного программного обеспечения в режиме SMM на основе динамического анализа. Разработанный подход может быть использован на пользовательских платформах для обнаружения ВПО в режиме SMM.

This work is devoted to the development of an approach for detecting malicious software operating in the SMM mode. The subject of the study is the detection of malicious software in the SMM mode. Tasks that were solved in the course of the study: 1. Study of SMM processor mode. 2. Analysis of approaches to malicious software in SMM mode. 3. Explore methods for analyzing SMM code and detecting malware in SMM mode. 4. Develop an approach to detecting malicious software in SMM mode based on dynamic analysis. 5. Conduct working testing of the developed approach. The work was carried out on the basis of a wide list of specialized scientific articles. The approach was implemented using the C programming language, based on the EDKII development environment. As a result, approaches to building malicious software in the SMM mode, methods for analyzing the code of the SMM mode, and methods for detecting malicious software operating in this mode were analyzed. Based on the analysis, criteria were set for the developed approach. Taking into account the criteria set, an approach has been developed to detect malicious software in the SMM mode based on dynamic analysis. The developed approach can be used on user platforms to detect malware in the SMM mode.