x64 и kernel-хуки

x64

То вы на рсдн утверждаете что лпк не годно, ибо этой подсистемы нет в вашей документации, потом вы предлагаете юзать извраты типо апк для инжекта, если есть годный PostProcessInitRoutine, юзать колстек вам религия не позволяет(когда то обсуждали с вами сие).. У аверов это наверно стало нормой использовать всякие кривые способы. Так же и патчгвард - это защита и вы предлагаете её отключать чтобы портить ядро, это не приемлемо!

 

T800

У Yrees в первом посте написано ZwQueryProcessInformation, вот я и решил, что нужно ограничить права доступа к процессу.
А если надо скрыть процесс от ZwQuerySystemInformation, то если я правильно помню в ядре есть двусвязный список процессов, из которого нужно удалить соответствующий элемент.

 

APC есть неотъемлемая часть архитектуры NT и эта часть худо-бедно документирована и поддерживается, LPC и т.п. - нет.

Не помню, чтобы я кому-то предлагал отключать PG, но я по-прежнему придерживаюсь мнения, что если нельзя, но других вариантов нет, то можно.

 

Если загрузится достаточно рано (до инициализации патчгарда), то можно хукать что угодно, патчгард сам будет оберегать ваши хуки...

 

Таки да.