一：背景1.讲故事总会有一些朋友问一个问题，在Windows中线程做了上下文切换，请问被切的线程他的寄存器上下文都去了哪里？能不能给我挖出来？这个问题其实比较底层，如果对操作系统没有个体系层面的理解以及做过源码分析，其实很难说明白，这篇我们就从.NET高级调试的角度试着分析一下吧。二：寄

一：背景1.讲故事总会有一些朋友是不是问一个问题，在Windows中线程做了上下文切换，请问被切的线程他的寄存器上下文都去了哪里？能不能给我挖出来？这个问题其实比较底层，如果对操作系统没有个体系层面的理解以及做过源码分析，其实很难说明白，这篇我们就从.NET高级调试的角度试着分析一

在Windows操作系统内核中，PspCidTable通常是与进程（Process）管理相关的数据结构之一。它与进程的标识和管理有关，每个进程都有一个唯一的标识符，称为进程ID（PID）。与之相关的是客户端ID，它是一个结构，其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等

在Windows内核中，SSSDT（SystemServiceShadowDescriptorTable）是SSDT（SystemServiceDescriptorTable）的一种变种，其主要用途是提供Windows系统对系统服务调用的阴影拷贝。SSSDT表存储了系统调用的函数地址，类似于SSDT表，但在某些情况下，Windows系统会使用SSSDT表来对系统服务进行引导

  在前面的文章<Wdf框架中WdfDriverGlobals对象的创建>中简单的提到过WdfVersionBind函数的作用，但是没有来得及分析这个函数的调用处。今天得空，借这篇文章写下WdfVersio

通常使用Windows系统自带的任务管理器可以正常地结束掉一般进程，而某些特殊的进程在应用层很难被结束掉，例如某些系统核心进程其权限是在0环内核态，但有时我们不得不想办法结束

在笔者上一篇文章《驱动开发：Win10枚举完整SSDT地址表》实现了针对SSDT表的枚举功能，本章继续实现对SSSDT表的枚举，ShadowSSDT中文名影子系统服务描述表，SSSDT其主要的作用是管