对付ring0 inline hook的基本思路是这样的，自己写一个替换的内核函数，以NtOpenProcess为例，就是 MyNtOpenProcess。然后修改SSDT表，让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是，实现NtOpenProcess前10字节指令，然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess 函数头写的JMP都失效了，在ring3直接调用OpenProcess再也毫无影响。

此驱动可以绕过DNF等网游对NtOpenProcess函数的InlineHook，从而可以获取进程句柄并且修改内存。声明：本作品仅为学习交流之用，若有人将其用于不法用途本人不负任何责任！

Example of kernel hook (MS Visual Studio 2005) of system call NtOpenProcess to prevent opening process from user mode

ssdt完整稳定源码，第一个例子HOOK了ZwSetInformationFile保护test.txt文件不被删除 第二个例子HOOK了NtOpenProcess保护PID大于1000的进程不被结束-ssdt complete stable source, ssdt complete stable source, ssdt complete stable source