据说win32k里面有一个全局量维护着系统的全局热键。
但是我查看这个位置的时候发现：
lkd> dd win32k!gpHotKeyList
bf9ab96c  00000000 00000000 e23195b8 00000000
bf9ab97c  00000000 00000000 e11629e0 e12914d0
bf9ab98c  00000000 bbe697f8 00000000 e2153948
bf9ab99c  00000000 00000000 bbdd1150 e13938b8
bf9ab9ac  bbdd11d0 e250fc08 bbdd1170 e24df9e0
bf9ab9bc  bbdd1190 00000000 bbdd11b0 00000014
bf9ab9cc  00000004 00000004 00000000 00000000
bf9ab9dc  00000000 000927c0 00000000 00000000

=======
请问他是这个结构吗？
typedef struct _HOT_KEY_ITEM
{  
LIST_ENTRY ListEntry;  
struct _ETHREAD *Thread;  
HWND hWnd;  int id;  
UINT fsModifiers;  UINT vk;
} HOT_KEY_ITEM, *PHOT_KEY_ITEM;

如果是，那为什么链表成员都是空？难道ctrl+ait+del这个不在里面？
如果不是，那他又是怎么样的一个位置呢。
我附加的是winDbg.exe查看的win32k。
求解?

看的这里：http://forum.sysinternals.com/topic18909.html

PS:别围观我啊。。给点建议也好啊。
大伙光看不吭声，搞的我怪不好意思的。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界