SSDT
Este artigo não cita fontes confiáveis. (Setembro de 2020) |
O SSTD ( System Service Dispatch Table ) é um recurso interno do sistema Windows da Microsoft (não confundir com Sql Server Data Tools).
O recurso SSTD gerencia o recurso "Dispatch" que são varias chamadas que podem ser alteradas de acordo com a necessidade, são rotinas que se interceptadas, alteram o comportamento do comportamento do ssitema Operacional. Isto é bastante utilizado por antivírus que precisam vigiar o ambiente, e consequentemente por MalWare, vírus que fazem alteração para se auto reproduzir no ambiente.
Estrutura do SSTD:
struct SystemServiceDescriptorTable {
PULONG_PTR ServiceTableBase;
PULONG ServiceCounterTableBase;
ULONG NumberOfServices;
PUCHAR ParamTableBase;
};
Através dela pode se obter endereço das rotinas Dispatch (veja Drivers) e informações utilizadas pelos Drivers (arquivos .SYS).
Nos sistemas de 64 Bits, existe o Patch Guardian, que previne alterações de endereços, porém mesmo assim existem técnicas para burlar esta vigilância.