2、系统服务调度表SSDT及SSSDT Shadow系统服务：由操作系统提供的一组函数（内核函数），API可以间接或者直接的调用系统服务。操作系统以动态链接库（DLL）的形式提供API。SSDT：系统服务调度表（System  Service  Dispatch Table），该表可以基于系统服务编号进行索引，来定位函数内存地址。SSPT：系统服务参数表（System  Service

http://www.cnblogs.com/mydomain/archive/2010/10/12/1849160.htmlhttp://www.cnblogs.com/mydomain/category/264964.html内核基础基本概念 　　首先需要安装DDK (Device Driver Kit)，这里我选择Microsoft Windows Server 20

汇编部分1、call 的本质相当于push+jmp,ret的本质相当于pop+jmp。2、Windows中，不管哪种调用方式都是返回值放在eax中，然后返回。外部从eax中得到值。3、Ebp总是被我们用来保存这个函数执行之前的esp的值。4、把局部变量区域初始化成全0cccccccch,0cch实际是int 3 指令的机器码，这是一个断点中断指令。5、任何一段中间不加任何跳转，

本文转自Hanke空间,原文地址:http://hi.baidu.com/hankebao/blog/item/7e8329804e0ce9d2bc3e1e2b.html---------在Windows分层驱动模型中，设备栈中的设备一般都是通过对上层传来的IRP做相应的处理来实现驱动的功能。这里对常用的几种IRP传递及完成的方式进行归纳和总结：1. 在本层驱动中完成1.1