摘要：本讲主要内容：1．SSDT表。2．KiSwapThread函数3．SwapContext函数----------------------------------------------1.SSDT表 1>int 0x2E进入0环后，在_KiSystemService函数中trap_frame框架形成之后，会把3环的参数拷贝到0环的栈，然后调用函数，用下列语句实现的： rep movsd callebx 我们往上看代码拷贝时：esi来源于3环的edx，edi来源于SSDT表，ebx是函数的地址也来源于SSDT表。 2>怎么找到SSDT表 在IDA的函数列表中找到KiInitSyste 阅读全文