驱动开发：Win10内核枚举ShadowSSDT基址及函数个数.pdfVIP

在笔者上一篇文章《驱动开发:Win10枚举完整SSDT地址表》中实现了针对SSDT表的枚举功能，本章将继

续实现对SSSDT表的枚举，ShadowSSDT中文名为系统服务描述表。SSSDT的主要作用是管理系统

中的图形化界面，其Win32子系统的内核实现是Win32k.sys驱动，属于GUI线程的一部分，其自身没

有导出表，枚举SSSDT表与其SSDT原理基本一致。

如下是闭源ARK工具的枚举效果：

首先需要找到SSSDT表的位置，通过《驱动开发:Win10内核枚举SSDT表基址》文章中的分析可知，

SSSDT就在SSDT的下面，只需要枚举4c8d1dde1e3a00特征即可。如果你找不到上一篇具体分析流程

了，那么多半你是看到了文章。

先实现第一个功能，得到SSSDT表的址以及SSDT函数个数，完整代码如下所示。

PVOID服务计数表基址;

在笔者上一篇文章《驱动开发：Win10枚举完整SSDT地址表》实现了针对SSDT表的枚举功能，本章继续实

现对SSSDT表的枚举，ShadowSSDT中文名系统服务描述表，SSSDT其主要的作用是管理系统中的图

形化界面，其Win32子系统的内核实现是Win32k.sys驱动，属于GUI线程的一部分，其自身没有导出

表，枚举SSSDT表其与S