Господа! Как решить следующую задачу: перехватить события перехода потока в режим ядра и выход из режима ядра? какие мысли?? thanx
переход осуществляется обычно в нтдлл функцией KiFastSystemCall или KiIntSystemCall. Возврат в первом случае KiFastSystemCallRet, во втором по ret'у
retmas Для выхода в юзермод следует изменить указатели в данных нтоса четырёх точек и один адрес в разделяемой памяти: KeUserApcDispatcher KeUserCallbackDispatcher KeUserExceptionDispatcher KeRaiseUserExceptionDispatcher USER_SHARED_DATA.SystemCallReturn Для отслеживания входа в кернелмод зависит от желаемого уровня контроля, но тут чем ниже тем больше следует выполнить работы, оптимально KiSystemServiceRepeat, это всё уже давно разжёвано. [Это для нормального ядра, где никаких руткитов нет. Раз пять переписал, пока без ошибок слова написал ппц ]
