那又怎么样，你预期是想看到什么结果？有可能执行了你的HOOK函数的话，你看得出来吗？

我个人理解认同张老师说的原因，也许就是会经过idt的缺页中断。不知道你是怎么测试的，你能保证你自己的缺页中断处理能正确的处理回PDE为有效的情况吗？

这里不能下断点的，windows内核调试的dispatch也是经常这个函数，这样就死循环了一样，个人理解。以前我弄 分发异常 来过一些反调试的时候就碰到，所以挺麻烦的，出问题只能脑子想，没法单步调

closed. 其实就是类似最基础的进程 用户空间切换的问题。一下子被内核空间搞蒙了。

买了老师的书，论坛也解决了我不少问题。无以为报，发点代码给论坛做贡献。隐藏IDT HOOK，可以过xuetr，PowerTool。发现windbg !idt命令也看不出，看来MS的哥们也偷懒原理是利用了选择子。直接发码，关于IDT 的知识我就不科普了