在Ring0下HOOK Ntdll.dll的Nt*函数的方法

这段代码可以直接使用，举例如下：

DWORD functionAddress;
Unicode_String dllName;
RtlInitUnicodeString(&dllName, L"\\Device\\HarddiskVolume1\\Windows\\System32\\ntdll.dll");
functionAddress = GetDllFunctionAddress("ZwCreateProcessEx", &dllName);
position = *((WORD*)(functionAddress+1));
DbgPrint("ZwCreateProcessEx's Id:%d\n", position);

上面的代码从驱动层加载NTDLL，再从输出表中找出函数地址，从而进行挂钩。
比如可以通过hook ZwCreateProcessEx来监控进程的创建，hook ZwQuerySystemInformation来实现进程的隐藏等等。