Полные сорцы вот этих, там еще был cb.exe скомпиленный cb.asm - код на ассемблере, который реализует перехват вызовов API ядра Windows и обратных вызовов. Вот основные моменты: - Вызов Setup() инициализирует структуры данных и вызывает функции для перехвата API. - NtGateInit настраивает шлюзы для перехватываемых вызовов NT API. - %NTCALL и %RCALL - макросы для выполнения перехваченных системных вызовов. - NtCrcToId отображает CRC хеш API на его системный ID, вероятно, для сокрытия использования. - Код обработки обратных вызовов вроде WwSetupCallback используется для обработки обратных вызовов в перехваченных API. - Используются различные механизмы для скрытия от отладчиков и мониторинга стека. Основные задачи: - Построение таблицы поиска для перехватываемых API - Установка шлюзов для перехваченных вызовов - Сопоставление API по CRC вместо имени для сокрытия - Перехват обратных вызовов и параметров - Скрытие от отладчиков Это позволяет перехватывать вызовы ядра на низком уровне и скрытно изменять поведение программ. В целом, похоже на фреймворк для хуков, мониторинга и внедрения в вызовы ядра Windows.
