目前流行和成熟的kernel inline hook技术就是修改内核函数的opcode，通过写入jmp或 push ret等指令跳转到新的内核函数中，从而达到修改或过滤的功能。这些技术的共同点 就是都会覆盖原有的指令，这样很容易在函数中通过查找jmp，push ret等指令来查出来， 因此这种inline hook方式不够隐蔽。本文将使用一种高级inline hook技术来实现更隐蔽的 inline hoo技术(Currently popular and mature kernel in

1.进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看，支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Leg