当我们HOOK SSDT 时，要做的很重要的事情就是要获得NtXXX函数在SSDT中的索引号，以方便替换和调用。 取得索引号会使用宏： #define HOOK_INDEX(function2hook) *(PULONG)((PUCHAR)function2hook + 1) 但为什么要function2hook +1 呢 ？一定要注意本质问题，这里的function2hook不是我们想要H