Доброе время суток! Достаточно ли перехватить CreateProcessA, CreateProcessW и т.п. в r3, или придеться городить драйвер под r0? Если драйвер, то отловить создание процесса можно через PsSetCreateProcessNotifyRoutine, а вот как запретить создание процесса, если он подходит по каким-либо критериям (image name)?
