Приветствую народ! Возник такой вопрос. Предположим, какая то софтина вызывает SetWindowsHookEx, для этого, dll библиотека, содержащая код перехватчика внедряется в гуишный процесс. Так вот, каким образом из режима ядра можно установить, что dll-ка внедряется в процесс, именно по причине вызова SetWindowsHookEx?
Хорошо, тогда второй вопрос, номер функции, попадающей в KiSystemService то я вижу, но , как узнать её название ???
А вот с этимми функциями, не то что с теми, что в SDT ntosk. Название и номера нужно захардкодить, конечно плохо, но что делать.
