1． Hook之前的准备工作之一。 在这个软件中，总共hook了15个native api 函数。他们分别是： ZwOpenKey , ZwClose, ZwQueryValueKey, ZwDeleteKey, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey. ZwEnumerateValueKey,ZwRestoreKey, ZwReplaceKey, ZwTerminateProcess, ZwSetSecurityObject, Zw

通过修改ssdt表 hook掉ZwTerminateProcessZwLoadDriver以及ZwSetSystemInformation 是一份比较简单易读的驱动程序入门源码 是zmpi软件的进程防护拦截模块-By modifying the SSDT hook ZwTerminateProcess ZwLoadDriver and ZwSetSystemInformation Is a relatively simple driver entry source.