10、HOOK SSDT 的實作<?xml:namespace prefix = o />
SSDT 的全稱是System Services Descriptor Table,即系統服務描述符表。這個表的作用是把ring3 的Win32 API 與ring0 的核心API 聯系起來。當然SSDT 并不僅僅隻包含一個龐大的位址索引表,它還包含着一些其它有用的資訊,諸如位址索引的基位址、服務函數個數等。
通過修改此表的函數位址可以對常用的Windows API進行HOOK,進而實作對一些比較關心的系統動作進行過濾、監控的目的。一些HIPS、防毒軟體、系統監控、系統資料庫監控軟體往往會采用此接口來實作自己的監控子產品。
關于SSDT HOOK的好文章,有李馬的《城裡城外看SSDT》,梧桐的《開篇:驅動掃盲,HOOK SSDT 短文一篇》,galihoo的《更加穩定的HOOK SSDT(通過MDL方式)》等。[3]
![在DOS下運作不了ipconfig指令[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)