我已经可以暂停掉游戏的所有线程，然后用CreateRemoteThread准备在游戏进程中创建一个MessageBox, 先是不成功，于是我用Rooket Unhooker查看后发现了一条 “XXX.exe-->ntdll.dll-->LdrInitializeThunk   0x7c92117e-->019b6f2b-[unkonown_code_page]”。
     我于是用windbg的Kernel Debug 的local查看这0x7c92117e处的代码， 发现没有被修改，难道ntdll.dll每个进程中映射的代码都不同？于是我用Rooket Unhooker选择 UnHook Selected，把这个Unhook掉后，发现这时候可以注入了，成功的弹出了我的MessageBox。
     LdrInitializeThunk 我上网查了点资料，不怎么懂，感觉就是一个线程或是进程创建的开始首先调用的函数，而此游戏就是hook它防止远程注入，当然还有NtReadVirtualmemory、NtWriteVirtualMemory、PsSetCreateThreadNotifyRoutine和NtOpenProcess等函数，不过我已经unhook完毕，现在被卡在这里了，虽然rooket unhooker可以完成unhook但是我还是想了解点原理。
     问下大家，我在windbg中为什么看到的代码没有被修改，但是却被工具检测出hook了，还有就是Rooket Unhooker是怎么把它Unhook掉的啊？

     小弟第一次发贴（潜水好久了貌似。。。），望大家帮助！
     我被这问题卡了几天了。。。     

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课