Imprimir Página - duda SSDT

System Service Descriptor Table

Tabla utilizada por Windows para dirigir llamadas del sistema
hacia un tratamiento conveniente :

tabla de encaminamiento de los APIs.

El "enganchamiento" de la tabla del descriptor de servicio del sistema (SSDT)
con vista a su modificación es otra técnica frecuentemente utilizada.

Al modificar esta tabla, el rootkit puede reorientar la ejecución hacia su
código en vez de hacerlo hacia el módulo original del sistema.

ver http://es.wikipedia.org/wiki/RkUnhooker

Hablando de una forma amigable, la SSDT (System Service Descriptor Table) es el
lugar en el que el sistema almacena punteros a las funciones principales del sistema.

Algunos rootkits de modo kernel usualmente utilizan la siguiente técnica –
remplazan la dirección actual de la función en la tabla de direcciones (SSDT)
con una función-manejadora propia. Algunos programas comerciales también utilizan
esta técnica, por ejemplo Panda Antivirus interviene la función NtTerminateProcess
para prevenir que los programas del antivirus sean terminados. El firewall Agnitum
Outpost hace lo mismo, además interviniendo (hooking) NtWriteVirtualMemory,

para proteger a los usuarios de técnicas de Malware conocidas como inyección de código.

Programas de emulación de CD como Alcohol y Daemon Tools intervienen funciones
relacionadas con el registro para engañar a los DRM’s (Digital Right Managers o
Administrador de Derechos Digitales).

RKU puede mostrar el estado de la SSDT, mostrando que funciones
(también llamadas servicios en terminología de MS) están redireccionandas
y además da la posibilidad restaurar su direccion original.
-------------------------------------------------------------------
....................................................................................

la duda que tengo es sobre el hooking a esta tabla si me pueden aclarar alguno que lo sepa :xD

Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: newone en 3 Septiembre 2007, 02:43 am