SSDT函数服务号对照表

SSDT（System Service Dispatch Table，系统服务调度表）是Windows操作系统中的一个重要组件，它是一个包含系统服务函数指针的表，这些函数提供了操作系统的核心功能，如文件操作、进程管理、内存管理和网络通信等。SSDT在内核模式下运行，为用户模式的应用程序提供服务接口。 在Windows的不同版本中，SSDT的结构和其中的函数可能会有所变化。例如，"ZwAcceptConnectPort"函数在Windows 2000 SP0-SP4的Build No 2195中对应的服务号是0x2，而在Windows XP SP0-SP3的Build No 2600中是0x2600。这个对照表提供了SSDT中每个函数在不同操作系统版本和Service Pack中的索引（Idx），这对于理解和分析Windows系统的内部工作原理，特别是进行驱动开发和系统安全研究时非常有用。 `HOOK`技术是一种在特定函数被调用之前或之后插入代码的技术，通常用于调试、性能监控或恶意软件中。在Windows环境中，对SSDT进行HOOK可以改变系统服务的行为，比如监控或拦截系统调用，从而实现特定的功能。`SSDT HOOK`就是对SSDT中的函数指针进行替换，使得在调用原系统服务时，实际执行的是HOOK函数。这种方法常用于系统安全软件、恶意软件和逆向工程中。 SSDT函数列表包括了各种关键操作，如： 1. `ZwAccessCheck`系列：这些函数负责检查指定对象的访问权限，是访问控制的核心部分。 2. `ZwAddAtom`：添加一个原子到全局原子表，用于字符串共享。 3. `ZwAddBootEntry`：添加一个新的启动项到引导加载器配置。 4. `ZwAddDriverEntry`：在驱动程序配置中添加新的条目，与设备驱动安装相关。 5. `ZwAdjustGroupsToken`和`ZwAdjustPrivilegesToken`：调整令牌的权限和组设置，影响进程的安全上下文。 6. `ZwAlertResumeThread`和`ZwAlertThread`：线程控制函数，用于唤醒或通知线程状态改变。 了解SSDT及其函数对照表对于系统编程人员、逆向工程师和安全专家来说至关重要，因为它们可以帮助识别系统行为，检测潜在的漏洞，以及设计和实现自定义的系统服务解决方案。此外，对于开发内核驱动程序的程序员，理解SSDT结构和如何安全地挂钩SSDT函数是必不可少的知识。在实际应用中，必须谨慎操作，因为不恰当的SSDT HOOK可能会导致系统不稳定甚至崩溃。