ssdt  方面的

NtAdjustPrivilegesToken  调整权限令牌
NtAlpcConnectPort  端口？
NtAlpcCreatePort  建立端口？
NtAlpcSendWaitReceivePort  ？


NtCreatePort  建立端口？
NtCreateSemaphore  建立信号量
NtCreateThreadEx
NtCreateUserProcess  建立进程
NtCreateWaitablePort 建立等待的端口

NtDeviceIoControlFile  设备 io 控制文件


NtMapViewOfSection  控制模块-强制卸载模块
NtNotifyChangeKey
NtOpenEvent  打开事件
NtOpenMutant 打开变量
NtOpenSemaphore 打开信号量
NtOpenThread  打开线程
NtQueryDirectoryObject  查询目录对象
NtQueryObject  查询对象

NtQuerySection  查询模块
NtReplyPort    回应端口
NtReplyWaitReceivePort  回应等待接收端口
NtResumeThread  恢复线程
NtSetInformationToken  设置消息令牌

shadown 方面的：：



NtUserAttachThreadInput  连接线程输入

NtUserCallNoParam  参数？
NtUserFindWindowEx  查找窗口
NtUserPostThreadMessage  通知线程消息
NtUserRegisterHotKey  注册热键
NtUserRegisterRawInputDevices  注册未处理的 输入设备
NtUserUnregisterHotKey  反注册热键



obj 方面的：：：


MiSectionDelete  删除模块
AlpcpDeletePort  删除端口



请挂接 上述函数

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)

已将您的建议收集，感谢您对瑞星的支持！