攻击的是带私有驱动的程序，比如鲁大师什么的
这类程序经常通过MDL做缓冲区，再加上开发人员省事喜欢申请非分页内存，如果在R3下攻击导致其缓冲区溢出的话……
这不是啥新方法，以前一些在64位 Windows下获取R0时比较流行。
至于恢复么，请参考系统服务分发的整个过程，在SSDT之前的步骤都是弱点。
R0下对抗就纠结了，你检查我干掉你的检测线程，攻击者永远比防御者来的晚。
另外这和IRP有啥关系？
--------------------------------------------------------------------------------------------
似乎目前SSDT HOOK不流行了，兼容性和稳定性都差，还容易被检查
DeepInlineHOOK/ObiectHOOK比较靠谱
更加邪恶的是利用VMX,Ring0下的一切都是浮云