l 必须十分小心的设计和编写hook device。因为在native api一级产生的流量会经过多个程序的上下文空间,它必须向操作系统内核一样稳定才行。一个很小的疏忽也会使系统立即玩完。
l 仅有一小部分内核的api流量被记录下来。例如,由其他内核模式的模块发出的api调用不会经过系统的int 2eh门,因此,也不可能经过我们的hook。还有,ntdll.dll和ntoskrnl.exe导出的很多重要函数并不属于native api,因此,对于它们,通过service table是无法进行hook的。
