网上一搜一大把，用的着推荐？

n年前有个文章叫城里城外看ssdt 这个坛子人写的

Rootkit是什么？估计很多朋友并不明白，简单的说，Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。技术是双刃剑，我们研究它的目的在于，透过我们的研究，用这项技术来保护我们的系统，使我们的系统更加健壮，充分发挥这个技术的正面应用。

对于ROOTKIT专题的研究，主要涉及的技术有如下部分：
  
1. 内核hook
   对于hook，从ring3有很多，ring3到ring0也有很多，根据api调用环节递进的顺序，在每一个环节都有hook的机会，可以有int 2e或者sysenter hook，ssdt hook，inline hook ，irp hook，object hook，idt hook等等。在这里，我们逐个介绍。
   1）object hook
   2）ssdt hook
   3）inline-hook
   4）idt hook
   5）IRP hook
   6）SYSENTER hook
   7）IAT HOOK
   8）EAT HOOK

2. 保护模式篇章第一部分： ring3进ring0之门
   1)通过调用门访问内核
   2)通过中断门访问内核
   3)通过任务门访问内核
   4)通过陷阱门访问内核

论坛的精华有很多先看了再问 其实比较好
搜索下 【专题四】Rootkit的学习与研究

SSDT就那么回事情，了解下Windows系统服务的分发机制和SSDT的结构就可以了
推荐《Windows内核原理与实现》+WRK源码

好文章，学习了