SSDT(System Services Descriptor Table) 这几年被讲烂了，各大论坛、Blog相关文章都是成堆成堆的。检测SSDT HOOK的代码也相当多，只不过放眼望去都是C的。实在不忍自己苦苦捍卫的Delphi就此末落（D2009倒是让人振奋了一把），于是把自己感兴趣的几个代码都给翻成了Delphi的，现在拿来共享。

不会驱动，这方面涉水也比较浅，只能写个查看SSDT的小程序。最初是看到 Ring3下用ZwSystemDebugControl获取和恢复SSDT 这篇文章，感觉不错！于是有了这个SSDT_Helper for Delphi，如图：

 这是装了 Daemon Tools 后的SSDT，它HOOK了注册表相关的几个函数。0x011C这个是因为装了金山清理专家，忽略之...

代码稍微有点长，具体部分都有注释，我就不多啰唆了：

完整工程源码：SSDT_Helper_src.rar
可执行文件：SSDT_Helper.rar

这个程序比较简单，r3下用ZwSystemDebugControl读内存，从文件搜SSDT...都是些常见的办法，而且由于只简单比较了一下SSDT地址，这样是检测不出Inline HOOK的。为了能检测Inline Hook，下一步应该比较每个函数头部的10几字节看有没有变化，等有时间了把这个功能给加上吧。

另外，恢复SSDT可以用ZwSystemDebugControl写回从文件读取的原始SSDT，实际就是上面代码里 BlackSSDT() 的逆过程而已。