SSDT 是什么

最新推荐文章于 2025-06-23 14:07:22 发布
最新推荐文章于 2025-06-23 14:07:22 发布
阅读量860 收藏 3
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hsapphire/article/details/84021710
本文详细介绍了SSDT(System Services Descriptor Table)的概念、作用及其内存组织方式,阐述了其在系统服务调用过程中的重要性,并通过WinDbg工具展示SSDT的具体内容和结构,揭示了其在Windows系统中的实际应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。

  通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块,
  目前极个别病毒确实会采用这种方法来保护自己或者破坏防毒软件,但在这种病毒进入系统前如果防毒软件能够识别并清除它将没有机会发作.
  什么是SSDT?较为正式一些的诠释是System Service Descriptor Table(系统服务描述符表)
  那么到底这个描述表是用来干什么的?他在内存中是如何组织的呢?
  首先,SSDT的结构:
  引用:
  typedef struct _SYSTEM_SERVICE_TABLE
  {
  PVOID ServiceTableBase; //这个指向系统服务函数地址表
  PULONG ServiceCounterTableBase;
  ULONG NumberOfService; //服务函数的个数
  ULONG ParamTableBase;
  }SYSTEM_SERVICE_TABLE,*PSYSTEM_SERVICE_TABLE;
  typedef struct _SERVICE_DESCRIPTOR_TABLE
  {
  SYSTEM_SERVICE_TABLE ntoskrnel; //ntoskrnl.exe的服务函数
  SYSTEM_SERVICE_TABLE win32k; //win32k.sys的服务函数,(gdi.dll/user.dll的内核支持)
  SYSTEM_SERVICE_TABLE NotUsed1;
  SYSTEM_SERVICE_TABLE NotUsed2;
  }SYSTEM_DESCRIPTOR_TABLE,*PSYSTEM_DESCRIPTOR_TABLE;
  实际上内核中存在两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。
  从上述结构中,我们可以看出,KeServieDescriptorTableShadow不但包含了ntoskrnel项,而且还包含了win32k项,而KeServiceDescriptorTable仅仅包含一个ntoskrnel项。
  我们用WinDbg看看,到底这个KeServiceDescriptorTable是什么东西。
  引用:
  lkd> dd KeServiceDescriptorTable
  80553380 81f61008 00000000 0000013d 81e62358
  80553390 00000000 00000000 00000000 00000000
  805533a0 00000000 00000000 00000000 00000000
  805533b0 00000000 00000000 00000000 00000000
  805533c0 00002710 bf80c217 00000000 00000000
  805533d0 f8951a80 f80839e0 81f433a8 806e0f40
  805533e0 00000000 00000000 00000000 00000000
  805533f0 83740440 01c8eac3 00000000 00000000
  我们可以看出,函数表基地址为81f61008,存在0000013d个服务项
  我们继续看看81f61008地址的内存块内,到底放了些什么。
  引用:
  lkd> dd 81f61008
  81f61008 80599746 805e6914 805ea15a 805e6946
  81f61018 805ea194 805e697c 805ea1d8 805ea21c
  81f61028 8060b880 8060c5d2 805e1cac 805e1904
  81f61038 805ca928 805ca8d8 8060bea6 805ab334
  81f61048 8060b4be 8059dbbc 805a5786 f8807de8
  81f61058 804ffed0 8060c5c4 8056be64 805353f2
  81f61068 80604b90 805b19c0 805ea694 80619a56
  81f61078 805eeb86 80599e34 80619caa 805996e6
  这里面的数据到底表示什么呢?实际上,这表示的是一个入口地址。我们对其中一个地址进行反汇编看看
  引用:
  lkd> u 80599746
  nt!NtConnectPort+0x60:
  80599746 689c000000 push 9Ch
  8059974b 6820a14d80 push offset nt!FsRtlLegalAnsiCharacterArray+0x1680 (804da120)
  80599750 e8abebf9ff call nt!wctomb+0x45 (80538300)
  80599755 64a124010000 mov eax,dword ptr fs:[00000124h]
  8059975b 8a8040010000 mov al,byte ptr [eax+140h]
  80599761 884590 mov byte ptr [ebp-70h],al
  80599764 84c0 test al,al
  80599766 0f84b9010000 je nt!NtConnectPort+0x23f (80599925)
  SSDT到底是什么呢?打一个比方,SSDT相当于系统内部API的指向标,作用就是告诉系统,需要调用的API在什么地方。
hsapphire
关注
SSDT HOOK技术(1)——获得SSDT函数索引号
苞米地里捉小鸡的博客
08-19 1011
1.SSDT是什么? SSDT全程是System Services Discriptor Table 翻译过来就是系统服务描述符表,那么系统服务描述符是什么呢?根据官方的解释ssdt表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 那么我们可以理解为SSDT就是一个很庞大的数组,它被用来保存windows系统服务地址。 比如我们在R3层调用了CreateFile这个A
使用SSDT对SQL Server数据库进行版本控制
04-07
如何使用SQL Server数据工具对SQL Server数据库进行有效版本化
城里城外看SSDT
马说@优快云
07-05 6216
原文链接:http://www.titilima.cn/?action=show&id=201点这里下载本文的配套代码引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下
深度剖析:内核 SSDT 钩子技术
最新发布
liulilittle的博客
06-23 1052
本文深度解析Windows内核SSDT钩子技术原理与应用。SSDT是连接用户模式API与内核模式实现的关键调度机制,通过修改SSDT函数指针可重定向系统调用。文章详解了SSDT结构、服务ID计算、CR0写保护绕过等核心技术,并呈现钩子安装全流程。在高级应用方面,介绍了跳板式钩子和过滤链式钩子两种模式,最后给出进程保护、文件防篡改和注册表保护三大实战案例。通过保存原始函数地址和CR0寄存器操作,该技术可实现系统调用的监控与拦截,具有重要的安全防护价值。
SSDT
10-20 3445
2、系统服务调度表SSDT及SSSDT Shadow 系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。 SSDT:系统服务调度表(System  Service  Dispatch Table),该表可以基于系统服务编号进行索引,来定位函数内存地址。 SSPT:系统服务参数表(System  Service
简单说说SSDT
camin920的专栏
01-17 746
论技术,我还差得远,而且网上关于SSDT的文章也多不胜数。但是还是想自己写一下,因为我想试试我能不能用最简单的语言来描述SSDT——这个对一般来人来说比较神秘的属于内核的地带。引用EVA说的一句话,“以为写个驱动就是内核,还远着了”——大概是这么个意思,记得不是很清楚。 关于SSDT,描述得最清楚的应该算《SSDT Hook的妙用-对抗ring0 inline hook》一文了,作者是堕落天才。这
关于SSDT
weixin_34356138的博客
09-22 178
百度上比较好的解释是:SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。         说白了,SSDT就是把系统两个不同级别的函数给关联起来,因为为了安...
SSDTHook_ssdt_SSDTHook_
10-01
SSDT(System Service Descriptor Table)是Windows内核中一个至关重要的数据结构,它是一个表,包含了操作系统提供的系统服务入口点。这些服务涵盖了进程管理、内存管理、设备驱动交互等核心功能。SSDT Hooking是一...
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT(System Service Descriptor Table)是Windows操作系统中的一个重要概念,它是系统服务的入口点,用于在用户模式下调用内核模式的服务。SSDT Hook是一种技术,通过修改SSDT表中的函数指针,使得在调用原系统...
SSDT.rar_SSDT DELPHI_delphi ssdt_restore_restore ssdt_ssdt
09-20
标题"SSDT.rar_SSDT DELPHI_delphi ssdt_restore_restore ssdt_ssdt"表明这是一个关于使用Delphi语言编写的驱动程序,其主要功能是恢复SSDT的原始状态。这通常涉及到系统调试、安全分析或者恶意软件清除等领域,因为...
SSDT.rar_SSDT Restore_ssdt
09-14
SSDT(System Service Dispatch Table,系统服务调度表)是Windows操作系统中的一个重要组件,它是一个包含系统服务入口点的表,这些服务是操作系统提供给应用程序和内核模式驱动程序的接口。SSDT允许用户模式进程...
初探SSDT
hongduilanjun的博客
03-17 2615
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接.
Shadow SSDT是什么玩意
02-21 551
全名: Shadow System Services Descriptor Table。 影子        系统       服务         描述            表 主管范围: 图形(gdi32.dll)、用户(user32.dll)相关函数
SSDT详解
02-23 1186
节选自《Undocumented Windows 2000 Secrets》: SSDT — System Services Descriptor Table ,系统服务描述符表(是一个整体的概念),共有四个表。(明确说是四个SST (System Server Table,系统服务表)类型的数组): typedef NTSTATUS (NTAPI*NTPROC)();typede
SSDT知识
dre4merp
05-15 850
Windows API的真正实现都是在内核中,那么这些函数是如何组织,实现精准调用的呢?这就需要用到系统服务表(SDT)表。   Windows一共有两张表,每张表大小10h,每个成员占4h。   如图,其中函数地址表每成员四字节,函数参数表每成员一字节。   参数的数值是以字节为单位。 基本上我们使用的都是第一张表 如何找到系统服务表呢?   在Win7 32位中存于 [KTHREAD+0xbc]   kd> dt _KTHREAD     ntdll!_KTHREAD     
SSDT(系统服务描述符表 system services descriptor table)
weixin_30832143的博客
03-02 1212
SSDT表介绍 ntdll.dll模块中的函数有些以nt或zw开头的函数为了完成相应的功能需要进入内核,调用内核中以nt开头的函数来完成相应的功能。ntdll.dll里的函数在进入内核层之前首先将系统服务号传入eax寄存器中,然后调用KiSystemService函数进入内核层。进入内核后会根据eax值索引ssdt表里的函数进行执行相应地址的函数。 SSDT的每一项是一个系统服务函数的地址,可...
ssdt
weixin_33908217的博客
03-08 185
https://j00ru.vexillium.org/syscalls/nt/64/?tdsourcetag=s_pcqq_aiomsg 转载于:https://blog.51cto.com/haidragon/2360064
SSDT UIAC是什么
04-18
### SSDT 和 UIAC 的定义、功能与作用 #### SSDT (Secondary System Description Table) SSDT 是一种 ACPI 表格,全称为 Secondary System Description Table(次级系统描述表)。它主要用于扩展 DSDT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值