wsyscheck里面的FSD是什么

belleyeah

我扫出来好几个红色的，正常吗？

dl123100

正常现象，引用网友原话：
hal.dll异常是Wsysycheck没能力检测到ｊｍｐ的ｈｏｏｋ地址，就拿硬件抽象层作挡箭牌了。至于ntkrnlpa.exe不过是多ｃｐｕ的ntoskrnl。

aziok

fsd=file system driver

belleyeah

ssdt和fds有什么区别？能说的简单点吗？

always

系统服务描述符表(SSDT)，这个表就是一个把ring3的Win32 API和ring0的内核API联系起来的角色

belleyeah

SSDT和FSD是一回事情吗？

曲中求

不是，如果要真正回答这个问题，估计不是三言两语就可以说明白，但可以概括为：

SSDT，是一个路标，像5楼所说，就是一个把ring3的Win32 API和ring0的内核API联系起来的角色，那么，这里又涉及到两个概念，一个是ring，一个是API。

所谓的ring，实际按等级分为0-3，但通常只用两个：系统核心层（0）和用户程序层（3），显然，前者有着至高无上的权限，后者只有着普通应用权限，受系统限制。

而API，是应用编程接口，windows中的dll便是其API函数的重要组成部分之一，它是能用来操作组件、应用程序或者操作系统的一组函数。API又分为两级：用户API和原生API。

话说，我们在执行程序操作时，首先会由用户API导出相关函数，在用户API和原生API交换之前，会先经过ntdll.dll这个动态数据链接来实行真正意义上的交换，因为真正处理这个执行请求还是原生API（native API），然后，系统会在SSDT里查找原生API的位置，最后由原生API执行完成请求并返回。

实际上，SSDT就是一个表，里面记录的是原生API的位置以及其他一些相关信息。

FSD：file system driver，就是文件系统驱动。通常，在系统中，负责管理磁盘数据和文件读写的部分被称为“文件系统”，而在windows系统中，是叫做“输入输出管理程序”，简称为IOS（汗，全称有一个单词不记得怎么写的……），而在IOS下面，就是“可安装文件系统”，简称为IFS（继续有单词不记得如何拼写……），再下面，也就是最底层，就是这个FSD了（呵呵，全称已经在有了……），很明显，如果控制了这方面的权限，那么，你会出现删除其相关文件出错，或者是储如此类的情况。这个也是Rookit在hook SSDT以及inline hook SSDT以后，用于反anti-Rookit工具的一种自我保护措施。

总结一下，SSDT是程序执行过程中的一组函数路标，而FSD是对文件读写操作控制相关。前者被恶意HOOK后，典型表现为，你执行程序明明做A事，结果却做B事去了，而FSD如果对恶意HOOK的话，则表现为对其相关程序进行保护，拒绝一些文件操作请求。

最后回答一下楼主的问题：hal.dll是Windows硬件提取层模块，用于解决硬件的复杂性（这个是百度知道里的）。 因为FSD直通ISO，而再下面就是向硬件化发展了。

总觉得这问题真不好讲清楚，好难缠，说不明，也很难说的感觉，有时间将在下一篇的Wsyscheck的教程中加以概括说明，有兴趣的朋友到时候可以留意一下。由于自己的认识有限，可能不甚准确，仅供参考。

[ 本帖最后由 曲中求 于 2008-9-26 21:30 编辑 ]