Прочитал цикл статей Ms-Rem а "Перехват API функций в Windows NT", и решил написать свой перехватчик... С помощью драйвера режима ядра все реализуется элементарно, но мне хотелось бы попробовать реализовать перехват, без драйвера, имея только один исполняемый файл. Вход в Ring0 осуществляю через модификацию GDT, перехват планирую осуществлять заменой адреса экспортируемой функции в SST на адрес своего обработчика, но обработчик перехватываемой функции должен находиться в верхних двух гигах памяти, а как его там разместить, используя только один exe-шник, ума не приложу. Пожалуйста, подскажите хотя бы направление в котором копать. ------------------------- Большой респект Ms-Rem у. С уважением Евгений.