一、消息队列在哪 有专用进程负责把消息分给各个进程,反复涉及到跨进程(linux下使用此方案,windows不适用) 3环进0环时,有一个服务号,如果小于100,调用ntoskrnl.exe模块,如果大于100要找的内核函数在win32k.sys模块中,里面是一些图形模块 二、窗口与线程 w32k.sys模块初始化时调用InitInputImpl中有两个函数,一个监控鼠标,一个监控键盘