на вин 8.1; 10 64битных. господа, посоветуйте шонить. надо шобы одно узермод приложение не могло в NtOpenProcess в отношении другого приложения. хукать NtOpenProcess ни трамплином ни выставлять бряки в DR с использованием veh/хука KiUserExceptionDispatcher в приложении, которое хочет открыть другой процесс не вариант. как бы надо так чтобы вообще его не трогать. есть ли вариант из ядра? SSDT ясен пень не проканает изза патчгварда. шото химичат на визорах слышал, в плане отлова и отключения патчгварда, но инфа скудна. --- Сообщение объединено, 19 авг 2019 --- вроде нашол шо надо Features, all PG-compatible: Syscall hooks via MSR_LSTAR Kernel inline hooks Kernel page substitution Kernel page EPT TLB splitting MSR hooks IDT hooks кому интересно github.com/DarthTon/HyperBone
Не в ту сторону немного занесло. Есть документированный способ сделать это. Реализацию можно подсмотреть у HoShiMin'a вот здесь.