804f88e4 ff1514874d80    call    dword ptr [nt+0x714 (804d8714)] ---这个才是第一个call

你没发现你的符号有问题么？
call后面一般都是函数开头，而你这个却是nt!KeUnstackDetachProcess+0x16c，所以你第一应该怀疑的不是为啥是KeUnstackDetachProcess，而是可能符号有问题。
我在XP SP3下的反汇编，你看看

kd> uf nt!KeAttachProcess
nt!KeAttachProcess:
804f88cc 8bff            mov     edi,edi
804f88ce 55              push    ebp
804f88cf 8bec            mov     ebp,esp
804f88d1 56              push    esi
804f88d2 57              push    edi
804f88d3 64a124010000    mov     eax,dword ptr fs:[00000124h]
804f88d9 8b7d08          mov     edi,dword ptr [ebp+8]
804f88dc 8bf0            mov     esi,eax
804f88de 397e44          cmp     dword ptr [esi+44h],edi
804f88e1 742d            je      nt!KeAttachProcess+0x44 (804f8910)

nt!KeAttachProcess+0x17:
804f88e3 80be6501000000  cmp     byte ptr [esi+165h],0
804f88ea 752a            jne     nt!KeAttachProcess+0x4a (804f8916)

nt!KeAttachProcess+0x20:
804f88ec 64a194090000    mov     eax,dword ptr fs:[00000994h]
804f88f2 85c0            test    eax,eax
804f88f4 7520            jne     nt!KeAttachProcess+0x4a (804f8916)

nt!KeAttachProcess+0x2a:
804f88f6 ff1514874d80    call    dword ptr [nt!_imp__KeRaiseIrqlToDpcLevel (804d8714)]
804f88fc 884508          mov     byte ptr [ebp+8],al
804f88ff 8d864c010000    lea     eax,[esi+14Ch]
804f8905 50              push    eax
804f8906 ff7508          push    dword ptr [ebp+8]
804f8909 57              push    edi
804f890a 56              push    esi
804f890b e8b8feffff      call    nt!KiAttachProcess (804f87c8)

[QUOTE=ltarcher;1197054]804f88e4 ff1514874d80    call    dword ptr [nt+0x714 (804d8714)] ---这个才是第一个call...[/QUOTE]
是第一个E8哈~

多谢提醒~现在正常了！
这里我只修改了下符号文件路径的设置，
修改前：
srv*D:\WinDDK\symbols*http://msdl.microsoft.com/download/symbols
修改后：
C:\WINDOWS\Symbols;srv*D:\WinDDK\symbols*http://msdl.microsoft.com/download/symbols
希望对新手有帮助