简介:SSDT想必大家都已经很熟悉,它就是Windows系统服务描述符表,这是将Ring3下的系统API函数和RingO系统API函数相互联系起来的一条重要通道。不管是杀毒软件的主动防御还是病毒木马所用到的Rootkit技术都对SSDT进行争夺来达到相应目的。
简介:我们知道windows98以前的系统,应用程序可以直接访问I/O端口。举个例子.当不知道CMOS密码时.我们可以在DOS下输入如下debug命令
简介:我们知道,通过HOOKSSDT中的ZwSetlnformationFile函数可以对文件进行保护.从而防止文件被删除。其实还有不少保护文件不被删除的方法.比如FSDDispatchHook、HOOKIoCompteteRequest、在内核层打开文件占用等等。
构造自己的“SSDT”绕过主动防御
内核编写CMOS维护工具
Inline Hook IoCallDriver保护文件