Посматриваем таблицу Shadow SSDT (win32k.sys)

Итак, долго мучался, нашел :)
Для просмотра этой таблицы, выведем все таблицы которые есть в KeServiceDescriptorTableShadow

0: kd> dds KeServiceDescriptorTableShadow

8055c6c0  80504460 nt!KiServiceTable

8055c6c4  00000000

8055c6c8  0000011c

8055c6cc  805048d4 nt!KiArgumentTable

8055c6d0  bf99a000 win32k!W32pServiceTable   - то что нам нужно

8055c6d4  00000000

8055c6d8  0000029b

8055c6dc  bf99ad10 win32k!W32pArgumentTable

8055c6e0  00000000

8055c6e4  00000000

8055c6e8  00000000

8055c6ec  00000000

8055c6f0  00000000

8055c6f4  00000000

8055c6f8  00000000

8055c6fc  00000000

8055c700  80504460 nt!KiServiceTable

8055c704  00000000

8055c708  0000011c

8055c70c  805048d4 nt!KiArgumentTable

Теперь, просто можем просмотреть таблицу
либо заюзав dd W32pServiceTable и потом шагами смотреть каждый индекс (см. пред заметку), либо сразу вывести табличку dds W32pServiceTable L29A