摘要：1、HOOK SERVICE TABLE：HOOK SSDT这种方法对于拦截 NATIVE API 来说用的比较多。SSDT hook，一句话——Windows把需要调用的内核API地址全都存在了一个表中（System Service Dispatch Table），要想hook一个内核API，比较简单的办法就是把该内核API在表（SSDT）中保存的地址修改为自己撰写的函数地址。 2、HOOK INT 2E 方法：IDT HOOKIDT是中断描述表，可以替换其中的中断处理程序。这种方法对于跟踪、分析系统调用来说用的比较多。原理是通过替换 IDT表中的 INT 2E 中断，使之指向我们自己的中断 阅读全文