通过hook内核中ssdt表中的ntopenprocess函数，标号为35，可通过遍历ssdt表查找得知，可实现进程保护。 适用系统：win7 64，需关闭驱动签名保护 编程工具：vs2012+wdk8.0

使用ssdthook技术实现进程防止关闭功能，包含完整代码，代码注释齐全。

编程打造自己的SSDT恢复工具_被SSDT HOOK了能修复.zip

如何区分ssdt hook和inline hook的区别

SSDT 的全称是 System Services Descriptor Table，系统服务描述符表。 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。 SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。 通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook，从而实现对一些关心的系统动作进行过滤、监控的目的。 一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的