Ребят, не скажете что это значит ? Что за Тень ? =\ KeServiceDescriptorTableShadow. Это обычная KeServiceDescriptorTable ??? Для чего используется эта тень и что она может предоставить ?
Читаем Руссиновича. Или он уже не рулит? KeServiceDescriptorTable содержит четыре таблицы сервисов, обычно заполнена только таблица сервисов ntoskrnl (нулевая по счету). Когда поток вызывает гуи-функцию впервые, обработчик sysenter смотрит, что получили гуйный Service ID и вызывает PsConvertToGuiThread, которая, кроме всего прочего, ставит потоку таблицу KeServiceDescriptorTableShadow - т.н. теневая таблица сервисов. В ней заполнены две таблицы - нулевая (ntoskrnl) и первая (win32k), последняя как раз и отвечает за GUI API. Это вкратце. А за подробностями, опять же, отсылаю к М.Руссиновичу и Д.Соломону. Глава - диспетчеризация системных сервисов, кажется
Да соломон хорошо постарался.Меня эта молния просто достает.Что она в данном случае может значить?Можно нормально перерисовать этот рисунок?
А по русиновичу это одна таблица.Вторая та что KeServiceDescriptorTableShadow. А остальные (две?) можно добавлять командой KeAddSystemServiceTable
