Таблица дескрипторов системной службы - System Service Descriptor Table

В Таблица дескрипторов системной службы (SSDT) является внутренним таблица отправки в пределах Майкрософт Виндоус.

Функция

SSDT отображает системные вызовы на адреса функций ядра. пространство пользователя приложение, он содержит индекс службы как параметр, указывающий, какой системный вызов вызывается. Затем SSDT используется для разрешения адреса соответствующей функции в ntoskrnl.exe.

В современных ядрах Windows используются два SSDT: один для общих процедур (KeServiceDescriptorTable) и второй (KeServiceDescriptorTableShadow) для графических программ. Параметр, передаваемый вызывающим приложением пользовательского пространства, определяет, какой SSDT следует использовать.

Крючок

Модификация SSDT позволяет перенаправлять системные вызовы подпрограммам вне ядра. Эти подпрограммы можно использовать либо для сокрытия наличия программного обеспечения, либо в качестве бэкдора, позволяющего злоумышленникам выполнять постоянный код с привилегиями ядра. зацепление Вызовы SSDT часто используются как методики в Windows руткиты режима ядра и антивирусная программа.^[1]^[2]

В 2010 году было показано, что многие продукты компьютерной безопасности, основанные на перехвате вызовов SSDT, уязвимы для подвиги с помощью условия гонки атаковать проверки безопасности продуктов.^[2]

Смотрите также

использованная литература

^ «Руткиты Windows 2005 года, часть первая». Symantec. 2005.
^ ^а ^б «Атака побеждает« большинство »антивирусных программ». ZD Net UK. 2010.

Эта Майкрософт Виндоус статья - это заглушка. Вы можете помочь Википедии расширяя это.

[1] «Руткиты Windows 2005 года, часть первая». Symantec. 2005.

[ZDNET2010-2] а ^б «Атака побеждает« большинство »антивирусных программ». ZD Net UK. 2010.

[1]

[2]