KeServiceDescriptorTable 与 KeServiceDescriptorTableShadow

　　早先“盗用”过公开的Re SSDT的源代码，对SSDT多少还是了解些，也Hook 过SSDT，但一直对另外一个SSDT——Shadow SSDT不甚了解，只知道它跟GUI调用有莫大的关系，具体怎么联系起来的，说不清楚。
　　最近研究起了Hook ShadowSSDT这个东西，经过查找资料、阅读Win2k的源码，以及WinDbg闹腾了半天，才终于明白了KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow到底是什么样的关系。
众所周知，KeServiceDescriptorTable在ntoskrnl.exe中被导出了，在我们的代码中只需要extern一下就可以方便的对其进行引用。网上流行的代码，把KeServiceDescriptorTable的类型定义为指向类似下面结构的指针（这是我从Win2k源码中摘出来的）：
typedef struct _KSERVICE_TABLE_DESCRIPTOR {
    PULONG_PTR Base;
    PULONG Count;
    ULONG Limit;
    PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
　　遗憾的是，这些代码让我有一个误判断，认为SSDT就是一个KSERVICE_TABLE_DESCRIPTOR结构，而KeServiceDescriptorTable就是指向这个KSERVICE_TABLE_DESCRIPTOR的指针。这种理解让我对ShadowSSDT相当的迷糊。真正今天，才算是明白了这个ShadowSSDT到底是个什么东西。
实际上，KeServiceDescriptorTable描述成下面的结构更便于描述和理解：
typedef struct _KSERVICE_TABLE_DESCRIPTOR_TABLE {
   KSERVICE_TABLE_DESCRIPTOR NativeApiTable;
   KSERVICE_TABLE_DESCRIPTOR Win32kApiTable;
   KSERVICE_TABLE_DESCRIPTOR NotusedTable;
   KSERVICE_TABLE_DESCRIPTOR NotusedTable;
} KSERVICE_TABLE_DESCRIPTOR_TABLE, * KSERVICE_TABLE_DESCRIPTOR_TABLE;
　　其中所谓的ShadowSSDT，就是由KSERVICE_TABLE_DESCRIPTOR_TABLE结构的第二个表：Win32kApiTable（注意这个名字是我起的，仅便于理解）来描述的。但是KeServiceDescriptorTable的这个成员是没有被使用的，全值为0。这就到KeServiceDescriptorTableShadow上场了。
　　KeServiceDescriptorTableShadow其实就是KeServiceDescriptorTable的复制品，唯一的区别就是它的Win32kApiTable是有效的。当Win32k.sys初始化之前，KeServiceDescriptorTableShadow与KeServiceDescriptorTable完全一致，Win32kApiTable同样为0，没有任何的意义。Win32k.sys初始化时，会调用KeAddSystemService将GUI相关的系统调用添加进KeServiceDescriptorTableShadow中的Win32kApiTable中，直到这时，KeServiceDescriptorTableShadow才和KeServiceDescriptorTable有了区别。
　　也就是说，Win32k的GUI系统调用表，保存在KeServiceDescriptorTableShadow的第二个成员：Win32kApiTable中，也就是KeServiceDescriptorTableShadow的0x10偏移处。这么简单点东西，让我花了一整个下午的时间来闹腾，真是笨到家了。
最后附上Windows 2000源代码中KeServiceDescriptorTableShadow 和 KeServiceDescriptorTable的声明：
#define NUMBER_SERVICE_TABLES 4
extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable[NUMBER_SERVICE_TABLES];
extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTableShadow[NUMBER_SERVICE_TABLES];