曾是土木人

通过反汇编跟踪一个API函数从Ring3层到Ring0层的具体执行过程，有助于我们加深对相关内核Hook技术的理解。我们可以使用OD打开notepad.exe程序，对CreateFileW下断后，可以发现，有这样一行代码：CALL DWORD PTR DS:[>; ntdll.ZwCreateFile也就是说，CreateFileW（Win32API）实际上是调用了ntdll中的NtC

SSDT Hook效果图加载驱动并成功Hook  NtTerminateProcess函数：当对 指定的进程进行保护后，尝试使用“任务管理器”结束进程的时候，会弹出“拒绝访问”的窗口，说明，我们的目的已经达到：SSDT简介SSDT 的全称是 System Services Descriptor Table，系统服务描述符表。这个表