x64内核实验5.1-API进0环(补充)

这章是对系统调用进0环的补充说明，因为之前将的时候好像没有对ssdt表做太多说明，光顾着写64位新引入的kpti机制了，所以单独拿一节来在逆一下KiSystemCall64把ssdt表怎么取地址怎么计算函数地址在逆向的过程中找到因为我发现网上很多将ssdt的都是直接讲结果我倒觉得自己去逆向一下找到系统是怎么用这个表的会记得更深刻一点即便后面改了或者增填了什么机制也可以自己找过去看，顺便补充一下过程中有一些注释

KiSystemCall64再次逆向

首先还是老一套保存3环现场到trap_frame


这一串空调用就不看了直接往下跳

这个函数内容很多后面我们还会继续逆向他，今天主要就是补充一下ssdt表系统是怎么用的