Скажите, есть ли в Vista 64 легальный (проблем с подписью на драйвере нет) способ перехватывать API функцию как это делается в х32 через SSDT. Судя по всему подобный способ должен быть. Ведь антивирусы как-то отслеживают вызовы API.
Насчет перехвата - ничего не слышал. Но есть несколько официальных методов фильтрования событий. В Vista разрешается даже изменять результат, данные и прочее. Вот список функций : CmRegisterCallback / CmRegisterCallbackEx - фильтрация реестра. Позволяет сделать практически все, в том числе и выполнить операцию вместо ОС. ObRegisterCallbacks - для фильтрации операций с хендлами процессов и потоков FltRegisterFilter - фильтрация обращений к файловой системе PsSetCreateProcessNotifyRoutineEx - фильтрация создания и удаления процессов. Это основа. Дополнительно могут помочь : PsSetCreateThreadNotifyRoutine PsSetLoadImageNotifyRoutine Вроде как все. Хотя может, что-то и забыл. Про другие методы я не слышал.
