SSDT(System Services Descriptor Table)系统服务描述符表

最新推荐文章于 2024-10-10 22:59:07 发布
转载 最新推荐文章于 2024-10-10 22:59:07 发布 · 1.1k 阅读 · 0
文章标签:

#descriptor #system #table #api #系统监控 #hook

SSDT(系统服务描述符表)作为联系ring3的Win32API和ring0的内核API的重要桥梁,在Windows系统中扮演着核心角色。通过修改SSDT中的函数地址可以实现对常用Windows函数及API的Hook,进而达到对系统行为进行过滤和监控的目的。许多HIPS、防毒软件等利用这一特性来增强系统的安全性。

SSDT(System Services Descriptor Table),系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。

目录

简介

  通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块,
  目前极个别病毒确实会采用这种方法来保护自己或者破坏防毒软件,但在这种病毒进入系统前如果防毒软件能够识别并清除它将没有机会发作.
  SSDT到底是什么呢?打一个比方,SSDT相当于系统内部API的指向标,作用就是告诉系统,需要调用的API在什么地方。
linshixina
关注
.NET 核心中的依赖注入容器实现 - ServiceDescriptor
Tnp____的博客
09-24 131
在 .NET 核心中,我们可以使用内置的依赖注入容器来管理对象的生命周期和解决它们之间的依赖关系。.NET 核心的依赖注入容器提供了一个名为 ServiceDescriptor 的类,它用于描述服务的注册信息。总结而言,通过使用 .NET 核心中的依赖注入容器和 ServiceDescriptor,我们可以实现松耦合的对象组合和依赖关系管理。在上面的示例代码中,我们定义了一个名为 IService 的接口,以及两个实现了该接口的服务类 ServiceA 和 ServiceB。方法来解析和获取服务的实例。
自己搭建IOC容器(C#)(五)实现构造方法注入
海盗Sharp的博客
03-02 1381
IOC容器比较重要的一个功能就是通过构造方法注入,在构造方法中添加相应的接口和服务,通过Ioc容器获取实例时,自动将这些东西注入到该实例中去。基本的原理 通过反射获取构造方法和他的参数 使用Type类的Type.GetConstructors()方法来获取一个类型的所有构造方法的信息,构造方法的信息ConstructorInfo中使用GetParameters()方法获取构造方法的参数集合,然后用过ConstructorInfo.Invoke(object[] parameters)进行实例构建
SSDT笔记。(System Services Descriptor Table
weixin_30784945的博客
08-10 201
本人只是业余爱好,勿喷,有兴趣的看。懂的也就没必要看了。 希望能结交更多的朋友,不论技术如何,在下都愿意一起分享学习。 肯定有错的地方,希望大家指出,下面只是概念性东西。希望能给和我一样菜的朋友看下。看书上或者资料介绍的很繁琐感觉,我这算大白话吧。因为业余也没想系统学习,所以朋友给我科普了下,在这里谢谢下他。 说了这么多废话看笔记吧。 r0的inline hook 其实理论上和 ...
SystemServiceTable
qq_50242229的博客
05-06 330
SystemServiceTable,即系统服务表,它不是SSDT表由4部分组成,ServiceTable指向的是函数地址数组,每个成员四个字节;Count表示调用次数,没啥意义;ServiceLimit表示这张表有几个函数;ArgumentTable指向对应函数有几个字节参数,每个成员一个字节从图中可以看出,Windows提供了两张表:上面的表是用来处理一般内核函数的,下面这张表是用来处理与GUI相关的内核函数。
System Service Descriptor Table" kernel-mode address finder
02-14
从用户层获取方法,欢迎下载学习!
SSDT(系统服务描述符表 system services descriptor table)
weixin_30832143的博客
03-02 1254
SSDT表介绍 ntdll.dll模块中的函数有些以nt或zw开头的函数为了完成相应的功能需要进入内核,调用内核中以nt开头的函数来完成相应的功能。ntdll.dll里的函数在进入内核层之前首先将系统服务号传入eax寄存器中,然后调用KiSystemService函数进入内核层。进入内核后会根据eax值索引ssdt表里的函数进行执行相应地址的函数。 SSDT的每一项是一个系统服务函数的地址,可...
4.API的调用过程(系统服务表)
My classmates
10-18 844
SystemServiceTable系统服务表) typedef struct _SYSTEM_SERVICE_TABLE   {       PVOID ServiceTableBase; //这个指向系统服务函数地址表   PULONG ServiceCounterTableBase;//系统这个服务表调用了几次    ULONG NumberOfService; //服务函数的个数 ...
SSDT表详细描述.pdf
03-16
- **定义**: SSDT,即**系统服务描述符表**(System Services Descriptor Table),是Windows操作系统中的一个重要概念。它是一个连接用户模式(Ring3)下的Win32 API与内核模式(Ring0)下对应内核服务的桥梁。 - **...
关于SSDT的详解.pdf
11-10
SSDT,即系统服务描述符表System Services Descriptor Table),是操作系统中一个至关重要的组件,尤其是在Windows系统中,它起着连接用户模式(Ring3)和内核模式(Ring0)之间的桥梁作用。本文将深入探讨SSDT的...
5.API的调用过程(SSDT
My classmates
10-18 1040
SSDT的全称是System Services Descriptor Table,系统服务描述符表 他是在ntoskrnl.exe中导出的函数 kd> dd KeServiceDescriptorTable (SSDT) 导出的声明一下就可以使用了 kd> dd KeServiceDescriptorTableShadow (SSDT Shadow) 未导出需要用其他的方式来查找 k.
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6989
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDTSSDT 的全称是 System Services Descriptor Table系统
SSDTSSDT hook技术
dr0op's blog
09-07 2678
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
SSDT检测器。SSDT系统服务描述表的意思(system service description table)
02-18
安全工具集。 请对系统比较了解的朋友下载使用。如果您对系统不是很了解的话,不要轻易尝试。不然,很可能导致系统蓝屏。而且此类工具一般都采用了特殊的驱动方式加载,为了提升权限,采用了各种病毒可能使用的方法,因此,很可能导致杀毒软件有反应。请不要见怪。蓝屏是最常见了
依赖注入的三种方式_ASP.NET Core技术研究-探秘依赖注入框架
weixin_39717704的博客
12-01 1430
ASP.NET Core在底层内置了一个依赖注入框架,通过依赖注入的方式注册服务、提供服务。依赖注入不仅服务于ASP.NET Core自身,同时也是应用程序的服务提供者。毫不夸张的说,ASP.NET Core通过依赖注入实现了各种服务对象的注册和创建,同时也实现了面向抽象的编程模式和编程体验,提升了应用程序的扩展性。今天,我们普及一下ASP.NET Core中依赖注入的一些基本知识。一、服务的注册...
Core官方DI剖析(1)--ServiceProvider类和ServiceCollection类
weixin_30410999的博客
11-26 2499
前段时间看了蒋老师的Core文章,对于DI那一块感觉挺有意思,然后就看了一下Core官方DI的源码,这也算是第一个看得懂大部分源码的框架,虽然官方DI相对来说特别简单, 官方DI相对于其它框架(例如 autofac)使用起来麻烦许多,既没有一次注入程序集中所有类的功能,也没有方便的属性注入,所以感觉起来官方的DI框架只是一个简单的标准,
.NET CORE依赖注入
Abel_01_xu的博客
03-21 2261
依赖注入框架利用 ServiceLifetime 来表示 Singleton、Scoped和Transient这3种生命周期模式Transient代表容器针对每次服务请求都会创建一个新的服务实例;Self将提供服务实例保存在当前容器中,它代表针对某个容器范围内的单例模式;Root将每个容器提供的服务实例统一存放到根容器中,所以该模式能够在多个“同根”容器范围内确保提供的服务是单例的。// 将每个容器提供的服务实例统一存放到根容器中,
RPC框架基本概念和简单实现
WU4566285的博客
10-18 496
文章目录一、基本概念二、技术简介三、最简单的RPC实现1、服务端2、客户端四、开源知名RPC框架 一、基本概念 RPC的全称是Remote Procedure Call,它是一种进程间的通信方式。允许像调用本地服务一样调用远程服务。 可以将RPC框架整体分为三部分:客户端、服务端、注册中心 客户端: 1、引用服务端暴露出来的接口; 2、与注册中心连接,向注册中心发送请求,获取服务地址信息; 3、创建服务接口代理,并调用,最后获取返回的结果。 服务端: 1、实现对外暴露的服务接口; 2、与注册中
【PSI/SI学习系列】2.PSI/SI深入学习3——SI信息解析2(SDT, EIT, TDT,TOT)
热门推荐
Destiny的专栏
10-24 1万+
SDT 解析 PARSING OF SDT "SDT描述了业务内容及信息,连接了NIT与EIT和PMT(PSI)"         SDT即服务描述表(Service Description Table),它描述了一个业务中的内容以及信息,它承上启下,以transport_stream_ID连接了NIT和EIT;SDT的servicID必须与PMT中的Program_no一致,因此,SD
【橙子老哥】.NetCore IOC依赖注入源码剖析(一)
最新发布
CCNetCore的博客
10-10 1031
至此,我们只是走完了最外一层,这些大致流程的是清楚的,只是留下很多核心对象没有进行深入,但是也不会太妨碍我们阅读,这其实也是精妙之处,微软将构建引擎、CallSite等对象抽象出来,不着急,关注橙子老哥,一步一步带你深入。(我其实不太喜欢将文章拆分很多个,奈何微软的IOC相对于其他组件来说,难度确实高了很多,所以篇幅有限,也为了让大家更好理解,特意将后续内容拆分多个章节)为什么要使用IOC,IOC的生命周期,IOC的好处。这些留给大家仔细思考吧~这里也是扩展方法,一层包一层的,最终,走到以下内容。
突破ring3:深入理解SSDT与内核调试
本文主要围绕"SSDT (System Service Descriptor Table)"进行深入探讨,这是一种在Windows操作系统中至关重要的概念,尤其是在内核级编程和系统服务管理中。SSDT是Windows内核服务模块中的关键结构,它负责描述系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值