dl_fluorescent_light的博客

**内核开发第一课** 当我们在用户层（R3）调用一个API（如CreateFile），这个API在用户层最终会调用ntdll.dll，通过sysentry或int 2e 进入内核层，从用户层传过来的参数和数据会封装成一个IRP包传给内核层。R0和R3是如何通信的：define IOCTL_BASE 0x800define MY_CTL_CODE(i) \CTL_

1) 配置WinDbg的环境,在path变量里，在变量值后面增加: ;+Windgb的安装目录 2）在环境变量里新建一个变量名称为_NT_SYMBOL_PATH,变量值为SRV*D:\symbol*http://msdl.microsoft.com/download/symbols,其中D:\symbol为你的symbol的安装时方的目录 3）右键新建快捷方