这两天忙没即时回复比较抱歉。
靠主动防御+自动分析实现较好的反病毒效果是非常难实现的，而且微点之类的厂商很久以前就已经尝试过。别的不说，入侵者用一个很简单的思路：自己加载sys然后获取RING0，就很难判断，因为现在所谓的主动防御也只是在RING0层拦截RING3的各类请求然后进行分析，而光靠这些很难判断这个sys是否合法。而简单的行为分析几年前杀毒软件厂商就在做了。
LZ如果有兴趣的话可以尝试我几年前的思路：静态虚拟机+行为分析，不过效率和时间欺骗上比较麻烦，实现起来也有点复杂。
LZ在这个年龄对Windows内核有如此程度的了解相当不错，不过似乎使用的一些技术比较老，建议可以参考一下ASM的开源ARK工具A-Protector。其实自己没必要尝试一个人做完整的产品，太累，项目管理成本过高，只要专注核心技术就好