实现屏幕取词的技术方案和部分源码，第二个hook我没有编译测试过 因为我没有VC++1.52.所以代码可能会有错。 建议使用Borland c++，按16位编译。 如果用VC++1.52，则要改个选项 在VC++1.52的Option里，有个内存模式的设置，选大模式，和\"DS!=SS DS Load on Fun ction entry.\",切记，否则会系统崩溃。

Windows XP是通过sysenter调用KiFastCallEntry将ntdll.dll的调用切换到内核的。KiFastCallEntry的原理是通过在SSDT中查找函数地址跳转。所以只要伪造一张原始SSDT，就可以使得SSDT-HOOK无效了。-Windows XP by calling KiFastCallEntry sysenter ntdll.dll call will switch to the kernel. KiFastCallEntry SSDT principle i

ssdt钩子检测，利用查找ntkrnlpa.exe中导出的ssdt的起始地址和大小，比较实际的ssdt地址表中的内容，找出钩子-ssdt hook detection, the use of export ntkrnlpa.exe Find ssdt the start address and size, a more realistic ssdt address the contents of the table to find out hook