对付ring0 inline hook的基本思路是这样的，自己写一个替换的内核函数，以NtOpenProcess为例，就是 MyNtOpenProcess。然后修改SSDT表，让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是，实现NtOpenProcess前10字节指令，然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess 函数头写的JMP都失效了，在ring3直接调用OpenProcess再也毫无影响。

利用hook openprocess实现防止任务管理器结束的方法，但是只能实现防止任务管理器，其他的防不住

原创的进程防杀最终版 Hook OpenProcess 支持xp,server2003,不支持NT2-Original anti-death process, the final version of Hook OpenProcess support xp, server2003, does not support NT2000