很多游戲保護系統中，或一些殺毒軟件中，都會對該表進行修改，從而改變系統函數調用流程來起到反外掛、反病毒的作用。同樣，病毒也在修改該表，從而修改系統函數調用流程來完成其自身的目的。這張非常關鍵的表叫作SSDT，即System Service Descriptor Table（系統服務描述表）。這張表的作用是把用戶層的Win32 API和內核層的API建立一個關聯。在該表中維護非常多Native API，或稱本地API。下面通過WinDbg來查看該表。

　　使用WinDbg連接到虛擬機上，然后在命令提示符處輸入dd KeServiceDescriptorTable命令，會得到一些十六進制的輸出。KeServiceDescriptorTable是Ntoskrnl.exe導出的一個指針，用來指向SSDT表。下面來查看命令的輸出結果：

　　kd> dd KeServiceDescriptorTable

　　80553fa0 80502b8c 00000000 0000011c 80503000

　　80553fb0 00000000 00000000 00000000 00000000

　　80553fc0 00000000 00000000 00000000 00000000

　　80553fd0 00000000 00000000 00000000 00000000

　　80553fe0 00002710 bf80c0b6 00000000 00000000

　　80553ff0 fc142a80 80e2d890 80cee0f0 806e2f40

　　80554000 00000000 00000000 c169a786 00009a34

　　80554010 3beab1c6 01cc052a 00000000 00000000

　　在該輸出中，第一行就是SSDT表，該表中的80502b8c是一個函數指針數組，該指針數組保存了所有Native API的函數地址，0000011c是數組的大小，80503000里面保存的是一個參數個數數組，與Native API相對應。將SSDT定義成一個結構體，具體如下：

　　typedef struct _SERVICE_DESCRIPTOR_TABLE

　　{

　　PULONG ServiceTableBase;

　　PULONG Reseave;

　　ULONG NumberOfServices;

　　PUCHAR ParamTableBase;

　　}SERVICE_DESCRIPTOR_TABLE, *PSERVICE_DESCRIPTOR_TABLE;

　　要想在驅動中獲得該表，需要使用Notokrnl.exe導出的KeServiceDescriptorTable，將其定義如下：

　　extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

　　有了上面的SSDT表和KeServiceDescriptorTable的定義，就可以編寫與SSDT相關的程序了，不過似乎還少點什么。表里面對應的Native API到底是什么？用WinDbg來看一下，輸入dd 80502b8c，輸出結果如下：

　　kd> dd 80502b8c

　　80502b8c 8059a948 805e7db6 805eb5fc 805e7de8

　　80502b9c 805eb636 805e7e1e 805eb67a 805eb6be

　　80502bac 8060cdfe 8060db50 805e31b4 805e2e0c

　　80502bbc 805cbde6 805cbd96 8060d424 805ac5ae

　　80502bcc 8060ca3c 8059edbe 805a6a00 805cd8c4

　　80502bdc 80500828 8060db42 8056ccd6 8053600e

　　80502bec 806060d4 805b2c3a 805ebb36 8061ae56

　　80502bfc 805f0028 8059b036 8061b0aa 8059a8e8

　　全都是一些地址值比較接近的函數地址，為什么說是函數地址？因為這是函數指針數組。輸入u 8059a948命令，輸出如下：

　　kd> u 8059a948

　　nt!NtAcceptConnectPort:

　　8059a948 689c000000 push 9Ch

　　8059a94d 6838a14d80 push offset nt!_real+0x128 （804da138）

　　8059a952 e8b9e5f9ff call nt!_SEH_prolog （80538f10）

　　8059a957 64a124010000 mov eax,dword ptr fs:[00000124h]

　　8059a95d 8a8040010000 mov al,byte ptr [eax+140h]

　　8059a963 884590 mov byte ptr [ebp-70h],al

　　8059a966 84c0 test al,al

　　8059a968 0f84b9010000 je nt!NtAcceptConnectPort+0x1df （8059ab27）

　　從輸出可以看出，8059a948是NtAcceptConnectPort（）函數的地址。再來看一個地址，輸入u 805e7db6命令，輸出如下：

　　kd> u 805e7db6

　　nt!NtAccessCheck:

　　805e7db6 8bff mov edi,edi

　　805e7db8 55 push ebp

　　805e7db9 8bec mov ebp,esp

　　805e7dbb 33c0 xor eax,eax

　　805e7dbd 50 push eax

　　805e7dbe ff7524 push dword ptr [ebp+24h]

　　805e7dc1 ff7520 push dword ptr [ebp+20h]

　　805e7dc4 ff751c push dword ptr [ebp+1Ch]

　　這次輸出的是NtAccessCheck（）函數的反匯編代碼。在SSDT表中，第3個參數表明，這個數組的大小是0x11c，也就是數組最后一項的下標是0x11b。再來看下標為0x11b的數組項中保存的地址是多少。輸入命令dd 80502b8c + 11b * 4，80502b8c是數組的起始地址，11b是數組下標，那么乘4是什么原因呢？數組地址的定位是通過數組首地址+下標×數組元素字節數得出的。一個函數的地址占用4字節，因此要做乘4的操作。該命令輸出如下：

　　kd> dd 80502b8c + 11b * 4

　　80502ff8 805c2798 0000011c 2c2c2018 44402c40

　　80503008 1818080c 0c040408 08081810 0808040c

　　80503018 080c0404 2004040c 140c1008 0c102c0c

　　80503028 10201c0c 20141038 141c2424 34102010

　　80503038 080c0814 04040404 0428080c 1808181c

　　80503048 1808180c 040c080c 100c0010 10080828

　　80503058 0c08041c 00081004 0c080408 10040828

　　80503068 0c0c0404 28240428 0c0c0c30 0c0c0c18

　　再用u命令來查看805c2798處的反匯編代碼。輸入命令u 805c2798，輸出如下：

　　kd> u 805c2798

　　nt!NtQueryPortInformationProcess:

　　805c2798 64a124010000 mov eax,dword ptr fs:[00000124h]

　　805c279e 8b4844 mov ecx,dword ptr [eax+44h]

　　805c27a1 83b9bc00000000 cmp dword ptr [ecx+0BCh],0

　　805c27a8 740d je nt!NtQueryPortInformationProcess+0x1f （805c27b7）

　　805c27aa f6804802000004 test byte ptr [eax+248h],4

　　805c27b1 7504 jne nt!NtQueryPortInformationProcess+0x1f （805c27b7）

　　805c27b3 33c0 xor eax,eax

　　805c27b5 40 inc eax

　　數組中最后一項保存的是NtQueryPortInformationProcess（）函數的地址。