n style="font-family: 宋体; mso-ascii-font-family: 'times new roman'; mso-hansi-font-family: 'times new roman'">处理的native api调用,因此kisystemservice()使用第一个sdt。如果第12位为1并且第13位为0,kisystemservice()使用第二个sdt,这个sdt并没有被当前系统使用。这意味着native api调用的索引值的潜在范围是:0x0000 --- 0x0ffff,win32k.sys调用使用的索引范围是:0x1000 --- 0x1fff。因此,0x2000 --- 0x2fff和0x3000 --- 0x3fff保留给剩下的两个sdt。在windows 2000中,native api服务表包含248个项,win32k.sys表包含639个项。
图5-2. keservicedescriptortableshadow的结构图
