Posted on 2009-10-17 11:38
S.l.e!ep.¢% 閱讀(174)
評論(0) 編輯 收藏 引用 所屬分類:
Windows WDM
IDT(Interrupt Descriptor Table)稱為中斷描述符表,具體用來做什么的,還不清楚。。
GDT(Global Descriptor Table)稱為全局描述符表
SSDT, 網上有兩種解釋 System Services Descriptor Table(系統服務描述表)? 和 System Service dispatch Table(系統服務調度表)
SSDT的全稱是System Services Descriptor Table,系統服務描述符表。這個表就是一個把ring3的Win32 API和ring0的內核API聯系起來。SSDT并不僅僅只包含一個龐大的地址索引表,它還包含著一些其它有用的信息,諸如地址索引的基地址、服務函數個數等。
通過修改此表的函數地址可以對常用windows函數及API進行hook,從而實現對一些關心的系統動作進行過濾、監控的目的。一些HIPS、防毒軟件、系統監控、注冊表監控軟件往往會采用此接口來實現自己的監控模塊,
目前極個別病毒確實會采用這種方法來保護自己或者破壞防毒軟件,但在這種病毒進入系統前如果防毒軟件能夠識別并清除它將沒有機會發作.