不会被APIHOOK拦截内存读写模块

能够有效防止API hook拦截内存读写的，最笨的方法就是写成dll然后用置入代码,或者是汇编写!

如果现在我想隐藏进程，通常情况，用户态进程使用CreateToolhelp32Snapshot等API获取进程列表，那么我就Hook这个枚举相关进程的API函数，那么当调用这些API函数的时候，系统会直接通知我们自己的Hook函数而不是这些枚举进程函数，也就是这些函数被拦截了。当执行我们自己的Hook函数的时候我们可以选择性地显示出正在运行的进程，从而最终实现进程的隐藏。

当然了这只是用户态下其中一种通过API?0?2Hook实现的进程隐藏方式。一般情况下，在用户态实现进程监控最终都会调用函数ZwQuerySystemInformation。因此，在系统上所有进程中挂钩模块Ntdll.dll中的该函数就能实现进程隐藏。这种方法不再依赖预先对目标进程所使用的API函数信息的获取，适应性更强。它几乎是用户态上最有效的进程隐藏方式。