Здравствуйте, Krio, Вы писали:

K>И так! Про это скажут многие сказано достаточно, но всё это фуфло )))! Сказано, да сказано, тока вот как в реале реализовать, многие знают тока под Linux, многие знают, как это сделать, когда идёт патчинг отдельно взятой проги(например при её взломе), где всё халява, где всё видно в какую область данных она грузится и что да как вызывает!!!! А вот, что если просто взять и перехватить Syscall, тут вазникают траблы! И так есть два пути перехватаЖ 1) Заменить нужную функцию в таблице экспортов-> трабл эта таблица не всегда грузиться по одному и тому же месту 2) Взять, эту функцию и прям в ней поставить jmp на наш обработчик-> трабл, при этом надо не потереть ничего другого, а в Cpp — файле качественно сделать asm вставку по возврату! 3) все эти функции, грузит из библиотек ntoskernrl.exe(если я не ошибаюсь) и патчить его-> трабл СТРАШНО!
K>Вывод: Кто, если как-нить отлавлил syscall( Ну просто так для интереса например считал скока раз вызывается NtCreateFile )) )То напишите как, без всяких там умных слов!!! P.S: умные слова нужно обычно потом, когда идёт отладка!!!

есть hooklib от z0mbie
выходил с 29A issue 7
_h_t_t_p://vx.netlux.org/vx.php?id=z001

собственно делает простую вещь, дизассемблирует код что есть, и втыкает туда заглушку
дает тебе вызвать свой код перед вызовом любой функции

Nt там или нет это пофиг, чисто x86 disasm, patch, asm