基于SSDT的進程注入攔截技術(shù)的研究與實現(xiàn).pdf

1、在windows系統(tǒng)中，進程注入是一個為了完成特殊功能而被系統(tǒng)預(yù)留出的接口，通過該接口，可以實現(xiàn)一些特殊的功能如屏幕取詞、輸入法等等，但是如果該接口被惡意利用，則會實現(xiàn)盜號木馬、進程隱藏等惡意程序，因此在安全問題日益嚴(yán)重的今天，對進程注入攔截具有現(xiàn)實意義。
　　本文主要比較了用戶態(tài)的IAT HOOK和Inline HOOK以及內(nèi)核態(tài)的HOOK SSDT、HOOK PE和掛接中斷，通過通用性、穩(wěn)定性、開發(fā)難度、跨平臺性的比較選擇了H

2、OOK SSDT，HOOK SSDT大量應(yīng)用于殺毒軟件、保護軟件和RootKit技術(shù)中，對此技術(shù)的深入研究能夠在攻防博弈中占據(jù)先機。
　　基于以上思想，本文以Visual C++6.0編譯環(huán)境和Windows DDK驅(qū)動程序開發(fā)包為開發(fā)工具，使用WinDebug和OnllyDebug對系統(tǒng)進行內(nèi)核層的逆向分析，對未文檔化的內(nèi)核部分進行深入了解，采用集成開發(fā)工具進行上層窗口應(yīng)用程序和底層驅(qū)動的開發(fā)，并通過IOCTL完成底層驅(qū)動與上層