摘要
为了保护系统服务调度表(System Service Dispatch Table,SSDT),发现隐藏于该内核模块的钩子,进行了深入研究,提出异于rookit以加载驱动程序的形式的内核检测模式,即两种在用户模式下检测SSDT钩子的方法:使用\device\physical memory在用户模式下检测;用户模式使用Nt System Debug Control函数检测。实验表明,用户模式的这两种方法同样可以实现SSDT钩子的检测,并且用户程序省略了加载驱动时的繁琐步骤,避免了驱动的各种弊端。
出处
《才智》
2009年第31期61-62,共2页
Ability and Wisdom
