Цитата:
Сообщение от flopix
А что такое Shadow SSDT?
|
Это таблица обработчиков системных вызовов графической подсистемы Windows, находится она в драйвере win32k.sys.
Все вызовы таких функций как user32.GetKeyState, user32.FindWindow и т.д. в конечном итоге передают управление в ring-0, предварительно указав в регистре eax индекс искомой функции, где и будет вызван соответствующий обработчик в win32k.