Posted on 2009-10-17 11:38
S.l.e!ep.¢% 閱讀(174)
評(píng)論(0) 編輯 收藏 引用 所屬分類(lèi):
Windows WDM
IDT(Interrupt Descriptor Table)稱(chēng)為中斷描述符表,具體用來(lái)做什么的,還不清楚。。
GDT(Global Descriptor Table)稱(chēng)為全局描述符表
SSDT, 網(wǎng)上有兩種解釋 System Services Descriptor Table(系統(tǒng)服務(wù)描述表)? 和 System Service dispatch Table(系統(tǒng)服務(wù)調(diào)度表)
SSDT的全稱(chēng)是System Services Descriptor Table,系統(tǒng)服務(wù)描述符表。這個(gè)表就是一個(gè)把ring3的Win32 API和ring0的內(nèi)核API聯(lián)系起來(lái)。SSDT并不僅僅只包含一個(gè)龐大的地址索引表,它還包含著一些其它有用的信息,諸如地址索引的基地址、服務(wù)函數(shù)個(gè)數(shù)等。
通過(guò)修改此表的函數(shù)地址可以對(duì)常用windows函數(shù)及API進(jìn)行hook,從而實(shí)現(xiàn)對(duì)一些關(guān)心的系統(tǒng)動(dòng)作進(jìn)行過(guò)濾、監(jiān)控的目的。一些HIPS、防毒軟件、系統(tǒng)監(jiān)控、注冊(cè)表監(jiān)控軟件往往會(huì)采用此接口來(lái)實(shí)現(xiàn)自己的監(jiān)控模塊,
目前極個(gè)別病毒確實(shí)會(huì)采用這種方法來(lái)保護(hù)自己或者破壞防毒軟件,但在這種病毒進(jìn)入系統(tǒng)前如果防毒軟件能夠識(shí)別并清除它將沒(méi)有機(jī)會(huì)發(fā)作.