Ring3层下的Inline Hook是最常用的Hook手段之一，是一种通过修改机器码的方式来实现hook的技术。 1、构造跳转指令。 2、在内存中找到欲HOOK函数地址，并保存欲HOOK位置处的前5个字节。(但其实并不一定就是5个字节，像是MessageBox就是6个字节) 3、将构造的跳转指令写入需HOOK的位置处。 4、当被HOOK位置被执行时会转到我们的流程执行。 5、如果要执行原来的流程，那么恢复HOOK，也就是还原被修改的字节。 6、执行函数原来的流程。