Posted on 2009-10-17 11:38
S.l.e!ep.¢% 阅读(163)
评论(0) 编辑 收藏 引用 所属分类:
Windows WDM
IDT(Interrupt Descriptor Table)称为中断描述符表,具体用来做什么的,还不清楚。。
GDT(Global Descriptor Table)称为全局描述符表
SSDT, 网上有两种解释 System Services Descriptor Table(系统服务描述表) 和 System Service dispatch Table(系统服务调度表)
SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块,
目前极个别病毒确实会采用这种方法来保护自己或者破坏防毒软件,但在这种病毒进入系统前如果防毒软件能够识别并清除它将没有机会发作.