在InlineHook中修改了zwOpenProcess函数的中的指令 与Resume HookSSDT同理 找出一个正确的值覆盖上去就行. 突发奇想  有没有可能上去一个驱动或者程序  直接卸载掉InlineHook 岂不是很爽 直接映射WCHAR    wzFileFullPath[] = L"\\SystemRoot\\System32\\ntdll.dll"; BOOLEAN MappingPEFileInRing0Space(WCHAR* wzFileFullPath,OUT…

//当Ring3调用OpenProcess //1从自己的模块(.exe)的导入表中取值 //2Ntdll.dll模块的导出表中执行ZwOpenProcess(取索引 进入Ring0层) //3进入Ring0 从Ntoskernel.exe模块的导出表中执行ZwOpenProcess(取索引 获得SSDT服务地址) //4通过索引在SSDT表中取值(NtOpenProcess的地址) //5真正调用NtOpenProcess函数 在真正调用OpenProcess后 可以通过修改里面跳转函数的地址…