Здравствуйте, TarasCo, Вы писали:

TC>Можно — функции из user32 обслуживаются отдельной таблицей SDT, созданной драйвером win32k.sys, соответственно, техника перехвата аналогичная — нужно лишь знать номер в таблице.

Еще не мешало бы знать параметры, они не всегда совпадают с соответствующими функциями Win32. Даже зная параметры, работать с ними будет непросто (например, что вы собираетесь делать с HWND в режиме ядра? win32k.sys преобразует его в свои внутренние структуры используя свои внутренние функции, которые не экспортируются. А вы как это будете делать?).

Кроме того, далеко не все функции user32 реализованы в ядре. Значительное количество выполняется целиком в пользовательском режиме.

В результате получается, что перехватить что-то можно, только непонятно что с ним потом делать и зачем.