1.KPCR进程概念KPCR介绍KPCR是CPU的控制结构FS段寄存器在R0(FS=0x30)的时候指向KPCR结构FS段寄存器在R3(FS=0x3b)的时候指向当前线程的TEB（线程）线程结构是运行在CPU上面，所以线程结构是放在CPU上的kd>dt_KPCRntdll!_KPCR+0x000NtTib:_NT_TIB+0x0

02驱动基础基础类型基础数据类型在驱动中用基础数据类型需要用大写R3R0intINTshortSHORTcharCHARlongLONGunsightedcharUCHAR指针是在前面加PNTSTATUSNTSTATUS本质上是LONGNTSTATUS>=0成功NTSTATUS<0失败判断NTSTATUS是否成

03驱动断链获取驱动信息的途径是从Driver和FileSystem两个目录下获得的正常情况下我们自己做驱动遍历只能便利Driver下的所有驱动，也就是驱动链表里的驱动分析这里我们F12进去找一下DRIVER_OBJECT的结构typedefstruct_DRIVER_OBJECT*PDRIVER_OBJECT;WinDbg里dt一下kd