摘要
与很多读者都知道的SSDT类似,系统中还存在着名为”SSDT Shad0w”的另外一张系统服务表。SSDTShadow里面保存的指针指向的函数与GDI有关。用户态中的GD132.dll和User32.dll中的函数通过中断进入内核态,分发器{KiFastCallEntry/KiSystemService)根据服务ID调用相关的内核态函数.这些函数位于win32k.sys。许多Anti—Virus、Anti—Rootkit、网游等软件的附属驱动也通过修改SSDTShadow进行自我保护。例如某些网游挂接了按键相关的函数(NtUserSendInPut等)来防止模拟按键,Anti—ViruS通过挂接某些窗口相关的函数(NtUserPOStMess8ge等)来防止被关闭。因此,