_KUSER_SHARED_DATA 0环和3环共享的结构体User层地址:
0x7ffe0000Kernel层地址:
0xffdf0000当cpu支持sysenter/sysexit指令时:
ntdll.dll!KiFastSystemCall()不支持时:
ntdll!KiIntSystemCall() 写入0x7ffe0300地址。KiFastSystemCall通过sysenter指令进入0环,KiIntSystemCall通过中断门进入0环,默认中断号0x2e(IDT表)。
