Zitat von
NicoDE:
Wenn der Benutzer-Account nicht die Rechte zum Beenden der Prozesse und zum Ändern der Policies hat (sonst sind sie relativ sinnlos), dann stellt sich die Frage, warum tausende APIs überwacht und Tools blockiert werden müssen...
... weil die bösen Treiber-Gurus sagen, daß man kein SSDT-Hooking machen darf
... dann könnte man nämlich von vornherein das Laden bestimmter EXEs über JEGLICHE Usermode-APIs, welche auf NtCreateProcess basieren, verbieten
Ich schreib schon ne Weile an sowas. Ist aber ziemlicher Debugaufwand, daher noch nix was ich als Version freigeben würde.