sys过Hook保护

过inline HOOK技巧

1. 可以通过对驱动加载前后Nt函数的内容对比，找出关键位置，文本对比工具很多
2. 注意一些不是Nt开头的函数，例如keAttachProcess函数（这个函数实际上是调用了kiAttachProcess函数，所以看看调用出是否挂钩），我们也许要hook还原。
3. KeDebuggerEnable这个和SSDT表一样也是导出的，是一个标志位，1的话呢是可以调试
4. 不要忘记对CR0操作
5. 工具不可完全相信，特别是inline hook