MyHookMgr是一個大小為0x5DDC的巨大結(jié)構(gòu)，是360掛鉤中的一個重要數(shù)據(jù)，它記錄了掛鉤函數(shù)的原地址、代理函數(shù)地址及相應(yīng)函數(shù)是否掛鉤的標(biāo)志位。

它的數(shù)據(jù)結(jié)構(gòu)是這樣的：

ssdtSize是ssdt的大小，這個域被用的并不多，這里不做過多解釋。
SsdtOriginFunc和shadowSsdtOriginFunc數(shù)組分別包含了兩個表中所有的原函數(shù)地址。但這個域在初始化時并沒有被填寫，在 過濾函數(shù)真正開始工作時才逐漸被代理函數(shù)填寫完畢。
ssdtFakeFunc和shadowSsdtFakeFunc是對應(yīng)的代理函數(shù)表，初始化時被填寫。
ssdtSwitch和shadowSsdtSwitch是代理函數(shù)開關(guān)，為1時代表函數(shù)被掛載，為0時直接執(zhí)行原始函數(shù)，不進(jìn)行過濾，初始化時所有開關(guān) 均置0。
結(jié)構(gòu)中的6個數(shù)組都是以ssdt編號作為索引的，由于win7的ssdtShadow表函數(shù)最多——827個，所以這里使用了足夠大的數(shù)組保證穩(wěn)定，當(dāng)然 這里浪費(fèi)了一些內(nèi)存。

關(guān)于SSDT編號的獲取有兩種方法，對于導(dǎo)出函數(shù)，因為其形式都如：

ntdll!ZwSetEvent:

7c92e570 b8db000000      mov     eax,0DBh             ;0DBh就是ssdt編號

7c92e575 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)

7c92e57a ff12            call    dword ptr [edx]

7c92e57c c20800          ret     8

7c92e57f 90              nop

從第一條指令中就可以讀取ssdt索引了。
對于未導(dǎo)出函數(shù)360使用了根據(jù)操作系統(tǒng)進(jìn)行硬編碼的方式。（詳情見IDB文件）