впарили тут меня сделать прожку которая следит за пользователем, да еще чтоб не видимая была. Составил для список чкого чи чего мониторить надо ну и пришел к проблеме при мониторинге доступа к файлам и запуска процессов, просмотрел поиск, факи, но более менее внятных ответов не нашел, а времени все меньше и меньше. Помогоите кто чем может. Требуется максимально рабочий код плз. Описалово проблемы Hookаю NtCreateProcess, и не могу понять 1.как получить из него путь к образу экзешника 2.как получить имя пользователя запустившего процесса прочитал что надо юзать ObReferenceObjectByHandle или получать peprocess что и как конкректно непонятно совсем. а да примеры плз на с, асм ваще чота пока не понимаю
n0name хм просто в будущем возможно расширение функионала, как обычно полэтому остановился на хуках. Four-F почти все на асме.
еще один вопроса (глупый новерна)) где то в статьях сказано что NtQueryInformationProcess работает не всегда, типа пареметры при запвуске какие-то можно установить, так сие правило работает тольо для ринг 3, или для всех уровней.
