ssdt全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
ssdt通过修改此表的函数地址可以对常用windows函数进行hook,从而实现对一些核心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块,
目前极个别病毒确实会采用这种方法来保护自己或者破坏防毒软件,但在这种病毒进入系统前如果防毒软件能够识别并清除它将没有机会发作。所以删除不会对电脑造成影响。
扩展资料:
SSDT的作用:
1、启动、停止、暂停、恢复或禁用远程和本地计算机服务。
2、管理本地和远程计算机上的服务。
3、设置服务失败时的故障恢复 *** 作。例如,重新自动启动服务或重新启动计算机。
4、为特定的硬件配置文件启用或禁用服务。
5、查看每个服务的状态和描述。
参考资料来源:
百度百科-SSDT
百度百科-系统服务
可以使用U盘pe中的ghost安装器安装系统。1、双击打开一键ghost恢复工具,选择“还原分区”,映像路径选择win7.gho文件,选择系统要还原的位置,比如C盘,或者根据磁盘容量选择安装位置,点击确定;
2、d出对话框,点击是,立即重启进行计算机还原,如果提示没有找到ghost32/ghost64,
3、这时候电脑自动重启,启动菜单多出Onekey Ghost选项,电脑会自动选择这个选项进入;
4、启动进入到这个界面,执行win7系统安装到C盘的 *** 作,耐心等待进度条完成;
5、 *** 作完成后,电脑自动重启,继续执行win7系统安装和配置过程;
通过Hook NtOpenProcess来的实现进程保护。要修改SSDT,需要关闭页面保护,在80x86的CPU上,cr0寄存器中的WP位是“写保护”位,我们要想修改SSDT,就要先干掉WP位,我们可以编写这样的两个函数(内联汇编)用于开关cr0的WP位:
/关闭页面保护
void PageProtectClose()
{
__asm{
cli
mov eax, cr0
and eax, not 10000h
mov cr0, eax
}
}
//启用页面保护
void PageProtectOpen()
{
__asm{
mov eax, cr0
or eax, 10000h
mov cr0, eax
sti
}
}
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)