Задача - слежка за новыми процессами. Способ в цикле чекания списка процессов и фильтрация старых да бы найти новые не хорошое решение, точно также не хорошо скажем хукать какой-то api во всех процессах. Может какой нотификатор можно ставить в csrss ? или прям в csrss лучще хукать какой-нить api который срабатывает при создании процесса? И если да, то какой? Спасибо за внимание.
CreateProcessNotify - не хочется связываться с реестром + тащить за собой отдельный модуль. BaseSetProcessCreateNotify - пока не совсем понял как юзать. А что насчет NtUserNotifyProcessCreate? Clerk тут спрошивал, но до меня так и не дошло как это использовать.
зачем в реестре копаться? подменил хендлер и все дела. можно через BaseSetProcessCreateNotify, а можно непосредственно сам адрес обработчика.
Flasher Подобные задачи не решаются из юзермода. Вам нужно создание процессов отслеживать, комуто иные обькты. Не нужен никакой хак, в ядре нотификаторы используйте или всякие иные механизмы.
наконец вспомнили мне где эт я видел такое) BaseSrvCreateProcess а вот и описуха неплохая! http://virustech.org/f/viewtopic.php?id=25
