了解Windows系统调用调度程序?

我正在尝试做一些反转来找出幕后的一个函数调用。

在使用windbg进行debugging时,我遇到了一个电话,

mov edx,offset SharedUserData!SystemCallStub call dword ptr [edx] 

调用导致下面的代码,

NTDLL KiFastSystemCall!

 8bd4 mov edx,esp 0f34 sysenter 

根据这个文档, eax包含系统调用序号。 eax中的值是11CC。

我正在弄清楚,这个函数实际上是什么被调用的。 有没有人有任何想法,我怎么能进一步?

Solutions Collecting From Web of "了解Windows系统调用调度程序?"

基本上你需要一个倾倒SSDT的方法 – 在x32上这可以很容易地完成。 也许最简单的方法是寻找一个将SSDT转储到必要索引上的实用程序,您将看到与此特定索引相对应的内容。 基本上eax会在一个函数表中存储一个索引,所以系统解密器在某个时候会call FunctionTable[eax] 。最新的调用表列表可以在这里找到

0x1xxx范围用于Win32k系统调用。 看到这里的清单。