简单的Rootkit检测程序，不改变sysenter地址,而是通过直接在原来sysenter地址里面写跳转代码来实现的,这实际上跟一般的函数头inline  hook一样.这样rootkit检测工具就不会认为sysenter已经改变(实际上也是没变).-Rootkit detection program, not change sysenter address, but through direct jump inside original sysenter address write

目前流行和成熟的kernel inline hook技术就是修改内核函数的opcode，通过写入jmp或 push ret等指令跳转到新的内核函数中，从而达到修改或过滤的功能。这些技术的共同点 就是都会覆盖原有的指令，这样很容易在函数中通过查找jmp，push ret等指令来查出来， 因此这种inline hook方式不够隐蔽。本文将使用一种高级inline hook技术来实现更隐蔽的 inline hoo技术(Currently popular and mature kernel in

1.进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看，支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Leg

c++ 内存加载Dll 特点如下: 直接在内存中载入,无磁盘占用 支持加壳保护的dll , 平时用的最多的vmp ,其它壳子还请自己测试 无模块载入, 因为重写了loadlibary ,如需要请自己注册 支持注入到目标进程,前提请先使用相应权限打开目标 对原代码的修改如下: 使用内联汇编将原 c/c++的库调用 代替, 使得 注入代码可行 支持直接使用资源加载和注入 支持加载exe ,请自行 hook 某些函数 ,确保exe 正确运行