Tabulka deskriptorů systémových služeb - System Service Descriptor Table

The Tabulka deskriptorů systémových služeb (SSDT) je interní odesílací tabulka v rámci Microsoft Windows.

Funkce

SSDT mapuje syscall na adresy funkcí jádra. Když je syscall vydán a uživatelský prostor obsahuje index služby jako parametr, který označuje, který systém volání je volán. SSDT se poté použije k vyřešení adresy odpovídající funkce v rámci ntoskrnl.exe.

V moderních jádrech Windows se používají dva SSDT: Jeden pro obecné rutiny (KeServiceDescriptorTable) a druhý (KeServiceDescriptorTableShadow) pro grafické rutiny. Parametr předaný volající aplikací uživatelského prostoru určuje, který SSDT se má použít.

Hákování

Modifikace SSDT umožňuje přesměrovat syscall na rutiny mimo jádro. Tyto rutiny lze použít ke skrytí přítomnosti softwaru nebo jako zadní vrátka umožňující útočníkům trvalé provádění kódu s oprávněními jádra. Z obou důvodů hákování Hovory SSDT se často používají jako technika v obou Windows rootkity režimu jádra a antivirový software.^[1]^[2]

V roce 2010 se ukázalo, že mnoho produktů pro zabezpečení počítače, které se spoléhaly na hákování hovorů SSDT, je zranitelných využije použitím podmínky závodu zaútočit na bezpečnostní kontroly produktů.^[2]

Viz také

Reference

^ „Windows rootkity z roku 2005, část první“. Symantec. 2005.
^ ^A ^b „Attack porazí„ většinu “antivirového softwaru“. ZD Net UK. 2010.

Tento Microsoft Windows článek je a pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.

[1] „Windows rootkity z roku 2005, část první“. Symantec. 2005.

[ZDNET2010-2] A ^b „Attack porazí„ většinu “antivirového softwaru“. ZD Net UK. 2010.

[1]

[2]