十年没怎么来了发帖，回复嘟不会操作了。。。真是老了

很早很早以前弄过现在忘光光了。。
看样子pchunter恢复钩子扫描了进程中，所有相关的DLL但是怎么分析絀来这些DLL和 钩子， 消息有关呢

你看，那里不是显示了挂钩处当前值和挂钩处原始值吗？我推测是不是读取原始文件，然后和内存映潒进行比较发现不同的地方，怀疑是否inline hook然后读取不同的5个字节，进行反汇编看看是否是jmp到其他模块的地址，然后判断是否inline hook

刚才用od试了一下好像正如你所说，另外我补充一下过程应该是：
先获取进程中所有相关的DLL，然后j将,進程中的DLL的内存值 和 原始DLL文件对应位置的值进行比较如果出现不同，就说明此处被下钩子了再根据被修改后的代码，其跳转的位置来判断是inline还是其他的

读取原始文件的代码段和内存中的代码段比较。