--- 문서 내용 중에서 발췌 --
SSDT란 System Service Descriptor Table의 약자로써 Window의 API들의
실제 함수의 주소들이 저장되어 있는 Table입니다. Kernel단에서의 처리가
필요한 API들은 해당 API의 Service Index를 이용하여 SSDT에서 해당 함수
의 실제 주소를 얻어 호출합니다. SSDT는 Kernel단의 Memory에 존재 하는
데, SSDT는 Process 독립적인 부분이 아닙니다. 즉 어떠한 조작을 하지 않는 한
모든 Application들은 모두 같은 Table을 참조하고 있는 것입니다. 그럼으로
SSDT를 수정하여 주면 시스템 전역 적인 API Hooking을 할 수 있습니다.
이러한 이유로 수많은 Rootkit들이 SSDT Hooking을 사용 하고 있으며,
Virus Engine의 동작기반 Virus탐지 기술에도 사용되고 있습니다.
출처 : http://www.devpia.com/MAEUL/Contents/Detail.aspx?BoardID=51&MAEULNo=20&no=7573&ref=7573
SSDT란 System Service Descriptor Table의 약자로써 Window의 API들의
실제 함수의 주소들이 저장되어 있는 Table입니다. Kernel단에서의 처리가
필요한 API들은 해당 API의 Service Index를 이용하여 SSDT에서 해당 함수
의 실제 주소를 얻어 호출합니다. SSDT는 Kernel단의 Memory에 존재 하는
데, SSDT는 Process 독립적인 부분이 아닙니다. 즉 어떠한 조작을 하지 않는 한
모든 Application들은 모두 같은 Table을 참조하고 있는 것입니다. 그럼으로
SSDT를 수정하여 주면 시스템 전역 적인 API Hooking을 할 수 있습니다.
이러한 이유로 수많은 Rootkit들이 SSDT Hooking을 사용 하고 있으며,
Virus Engine의 동작기반 Virus탐지 기술에도 사용되고 있습니다.
invalid-file출처 : http://www.devpia.com/MAEUL/Contents/Detail.aspx?BoardID=51&MAEULNo=20&no=7573&ref=7573
Rss Feed