13、Windows驱动开发技术详解笔记(9) 基本语法回顾

SSDT 的全称是System Services Descriptor Table，即系统服务描述符表。这个表的作用是把ring3 的Win32 API 与ring0 的内核API 联系起来。当然SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。

通过修改此表的函数地址可以对常用的Windows API进行HOOK，从而实现对一些比较关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

关于SSDT HOOK的好文章，有李马的《城里城外看SSDT》，梧桐的《开篇：驱动扫盲，HOOK SSDT 短文一篇》，galihoo的《更加稳定的HOOK SSDT（通过MDL方式）》等。[3]