- Формат изменился, ищи, поиском найти можно. - Про PG не забудь, обходится внедрением в загрузчик системы.
она не экспортится. Ищется эвристическим методом. но бесполезно из-за PG. мне кажется это на руку скорее вирусописателям нежели аверским конторам. Тот же касперский без ssdt бесполезен.
http://code.google.com/p/ioctlfuzzer/source/browse/trunk/src/driver/src/driver.cpp Вот здесь есть поиск и разбор KiST с сплайсингом, переписать на замену адреса обработчика системного вызова в таблице так же можно, хотя есть некоторые но.
