SSDTHOOK基本原理与实例介绍.pdfVIP

南邮王下邀月熊·HOOK学习笔记之Ring0 下SSDTHOOK SSDTHOOK SSDTHOOK SSSSDDTTHHOOOOKK SSDT SSDT SSSSDDTT 基本概念 SSDT 既 System Service Dispath Table。在 Windows NT 下，NT 的 executive （NTOSKRNL.EXE 的一部分）提供了核心系统服务。各种 Win32、OS/2 和 POSIX 的 APIs 都是以 DLL 的形式提供的。这些dll 中的 APIs 转过来调用了 NTexecutive 提供的 服务。尽管调用了相同的系统服务，但由于子系统不同，API 函数的函数名也不同。例如， 要用Win32API 打开一个文件，应用程序会调用 CreateFile()，而要用 POSIXAPI，则应 用程序调用 open() 函数。这两种应用程序最终都会调用 NT executive 中的 NtCreateFile() 系统服务。 用户模式（User mode）的所有调用，如Kernel32,User32.dll, Advapi32.dll 等提供的 A