Доброго времени суток! Подскажите пожалуйста как можно реализовать перехват winApi функции createprocess в режиме ядра, может быть у кого нибудь есть готовые примеры? Гуглил много, но так ничего дельного и не нашел.
В режиме ядра сидит злой патчгуард, поэтому большинство (если не все) известных техник приведут к крашу системы. Лезть в ядро нужно в последнюю очередь. Если Вы хотите просто отслеживать запуск процессов, можете зарегистрировать свой каллбэк. https://docs.microsoft.com/en-us/wi...tddk/nf-ntddk-pssetcreateprocessnotifyroutine
