System Service Dispatch Table
- System Service Dispatch Table
-
System Service Dispatch Table ou SSDT, est un tableau de descripteur de service situé dans le Noyau de Windows, utilisé pour diriger des appels système vers un traitement approprié : table d'adressage des API.
Point d'accroche dans la table SSDT
Le « crochetage » (« SSDT hooking ») de la table SSDT en vue de sa modification est une des techniques fréquemment utilisées par les rootkits. En modifiant cette table, ils peuvent réorienter l'exécution vers leur code au lieu du module de traitement (fonction) originellement appelé. Certaines de ces fonctions sont crochetées tant par les rootkits malsains que les anti-rootkits
Sur Windows XP, cette table est en lecture seule, mais cette protection peut être contournée.
Exemples d'appel système détourné :
- pour les thread, processus, (et jobs) : NtAssignProcessToJobObject, NtCreateThread et NtTerminateThread, NtOpenProcess et NtTerminateProcess, etc. ;
- pour les fichiers : NtQueryDirectoryFile, NtDeleteFile, etc. ;
- pour les pilotes : NtLoadDriver et NtUnloadDriver ;
- pour la mémoire : NtProtectVirtualMemory et NtWriteVirtualMemory ;
- divers : NtCreateKey, NtReplaceKey.
Par voie de conséquence, cette table du noyau est l'une des plus contrôlées par les utilitaires de détection des rootkits. Sa restauration en cas de modification non désirée est une protection supplémentaire que certains anti-rootkits proposent.
Références externes
Wikimedia Foundation.
2010.
Contenu soumis à la licence CC-BY-SA. Source : Article System Service Dispatch Table de Wikipédia en français (auteurs)
Regardez d'autres dictionnaires:
System Service Descriptor Table — System Service Dispatch Table Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl … Wikipédia en Français
Intrusion Detection System — Système de détection d intrusion Un système de détection d intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi… … Wikipédia en Français
Computer-aided dispatch — The CAD system of a fire department on a busy day. The line at the bottom is about to be dispatched. (Note:addresses have been changed for privacy reasons.) Computer assisted dispatch, also called Computer Aided Dispatch (CAD), is a method of… … Wikipedia
Computer-assisted dispatch — The central idea is that persons in a dispatch center are able to easily view and understand the status of all units being dispatched. CAD provides displays and tools so that the dispatcher has an opportunity to handle calls for service as… … Wikipedia
Abreviations en informatique S — Abréviations en informatique S SAM : chez Microsoft, cette abréviation peut avoir plusieurs significations : SAMple : extensions de fichier pour les fichiers d exemple : hosts.sam, lmhosts.sam… Security Account Manager… … Wikipédia en Français
Abréviations En Informatique S — SAM : chez Microsoft, cette abréviation peut avoir plusieurs significations : SAMple : extensions de fichier pour les fichiers d exemple : hosts.sam, lmhosts.sam… Security Account Manager Software Asset Manager (logiciel d… … Wikipédia en Français
Abréviations en informatique S — SAM : chez Microsoft, cette abréviation peut avoir plusieurs significations : SAMple : extensions de fichier pour les fichiers d exemple : hosts.sam, lmhosts.sam… Security Account Manager Software Asset Manager (logiciel d… … Wikipédia en Français
Abréviations en informatique s — SAM : chez Microsoft, cette abréviation peut avoir plusieurs significations : SAMple : extensions de fichier pour les fichiers d exemple : hosts.sam, lmhosts.sam… Security Account Manager Software Asset Manager (logiciel d… … Wikipédia en Français
Stfw — Abréviations en informatique S SAM : chez Microsoft, cette abréviation peut avoir plusieurs significations : SAMple : extensions de fichier pour les fichiers d exemple : hosts.sam, lmhosts.sam… Security Account Manager… … Wikipédia en Français
Darwin (operating system) — Darwin Company / developer Apple Inc. Programmed in C, C++ OS family Unix … Wikipedia
