自从接触hook以来，把竹君的那篇文章看了又看，
那篇文章简直太好了，帮助我们菜鸟解决了很多问题
但是，还有有两个问题，至今没弄明白：
1.在这段代码中，那个eax的值随便变了，能不能有什么问题？
也就是说，用不用先保存下来，然后再恢复？

_asm
               
        {   
               
                mov edi,edi
                        push ebp
                        mov ebp,esp
                        mov eax,ObReferenceObjectByHandle
                        add eax,5
                        jmp eax               
                       
        }

2.第二个问题是，在第二篇inline hook KiInsertQueueApc对抗插APC杀进程
就是这个代码中，这个处理函数DetourMyKiInsertQueueApc中，用了一个if....else来进行判断
我想，能不能根本就不运行OriginalKiInsertQueueApc这个原函数？
如果这样，是否堆栈就不平衡了？
也就是说，如果我不是要结束那个记事本进程，那么就不能执行OriginalKiInsertQueueApc

以上两点，请大家帮助我

谢谢

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法