标签: windows kernel interrupt
我刚刚学习了Windows内核的基础知识,我遇到了一个问题。我想检查是否有任何IDT条目被挂钩。正如我所见,例如XueTr(PcHunter)可以告诉我特定IDT条目的原始值(如果它被挂钩),但我不知道如何找到该表的原始值?例如,在SSDT中,可以从ntoskrnl图像中提取原始值,但IDT不是Windows特定的。
THX!