这篇文章是有关在OS Windows下挂钩API函数的方法。所有例子都在基于NT技术的Windows版本NT 4.0及以上有效(Windows NT 4.0, Windows 2000, Windows XP)。可能在其它Windows系统也会有效。 你应该比较熟悉Windows下的进程、汇编器、PE文件结构和一些API函数，才能明白这篇文章里的内容。 这里使用\"Hooking API\"这个术语表示对API的完全修改。当调用被挂钩的API时，我们的代码能立刻被执行。我将写下完全

参照95系统程式大奥秘最后一个APISPY32程序。里面有我加的详细注释，适合初学者理顺思路。包括工程文件。一些没有加注释的请参考程式大奥秘。另：还没有写加载器。可以手工在刺探程序中显示调用LoadLibrary,重点在学习堆栈和IAT。请注意汇编和C之间的函数互调。

SYSENETER是一条汇编指令，它是在Pentium® II 处理器及以上处理器中提供的，是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门 用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候，需要进行栈切换的工作。由于Interrupt/Exception Handler的 调用都是通过 call/trap/task这一类的gate来实现的，这种方式会进行栈切换，并且系统栈的地址等信息由TSS提供。这种方式可能会引起多