Я устанавливаю хуки на Native API в SDT (как Марк Руссинович писал). Но мне нужно для разных процессов сделать разные обработчики. Если ли возможность определить ID процесса или потока, который в данный момент вызывает какую-либо Native API?
PsGetCurrentThredId() возвращает идентификатор вызывающего потока, но этот id будет ли соответствовать id потока в пользовательском режиме?
Да, если только никто не поставил какой-нибудь хитрожопый хук на Syscall Gate, но это маловероятно, т.к. может поломать логику некоторых системных сервисов.
