Posted on 2009-10-17 11:38
S.l.e!ep.¢% 閱讀(177)
評論(0) 編輯 收藏 引用 所屬分類:
Windows WDM
IDT(Interrupt Descriptor Table)稱為中斷描述符表,具體用來做什么的,還不清楚。。
GDT(Global Descriptor Table)稱為全局描述符表
SSDT, 網(wǎng)上有兩種解釋 System Services Descriptor Table(系統(tǒng)服務描述表)? 和 System Service dispatch Table(系統(tǒng)服務調度表)
SSDT的全稱是System Services Descriptor Table,系統(tǒng)服務描述符表。這個表就是一個把ring3的Win32 API和ring0的內核API聯(lián)系起來。SSDT并不僅僅只包含一個龐大的地址索引表,它還包含著一些其它有用的信息,諸如地址索引的基地址、服務函數(shù)個數(shù)等。
通過修改此表的函數(shù)地址可以對常用windows函數(shù)及API進行hook,從而實現(xiàn)對一些關心的系統(tǒng)動作進行過濾、監(jiān)控的目的。一些HIPS、防毒軟件、系統(tǒng)監(jiān)控、注冊表監(jiān)控軟件往往會采用此接口來實現(xiàn)自己的監(jiān)控模塊,
目前極個別病毒確實會采用這種方法來保護自己或者破壞防毒軟件,但在這種病毒進入系統(tǒng)前如果防毒軟件能夠識別并清除它將沒有機會發(fā)作.