对付ring0 inline hook的基本思路是这样的，自己写一个替换的内核函数，以NtOpenProcess为例，就是 MyNtOpenProcess。然后修改SSDT表，让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是，实现NtOpenProcess前10字节指令，然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess 函数头写的JMP都失效了，在ring3直接调用OpenProcess再也毫无影响。

在Ring0下实现保护进程，通过HOOK SSDT实现保护进程,The Ring0 achieve protection process, achieved through the protection process HOOK SSDT

DDK开发的在Ring0中通过HOOK SSDT，实现对注册表监控-DDK development in Ring0 through HOOK SSDT, to realize the Registry Monitor

看雪学院Rootkit学习，1.内核Hook:对于hook，从ring3有很多，ring3到ring0也有很多，根据api调用环节递进的顺序，在每一个环节都有hook的机会，可以有int 2e或者sysenter hook，ssdt hook，inline hook ，irp hook，object hook，idt hook-See snow Institute Rootkit learning, kernel Hook: hook from ring3 many, ring3 to ring

ring0层的hook 哦，可以干系统不想让你干的事。哈 -ring0层的hook 哦，可以干系统不想让你干的事。哈 哈哈