Zitat von
perle:
darum steht da ja auch CreateProcess
etc. 
Statt CreateProcessA/W ist dann aber NtCreateProcess und NtCreateProcessEx (ich denke mal *Ex reicht) konsequenter, weil die
Win32-APIs ja auf letzteren aufsetzen
Zitat von
perle:
schon, aber besser als seine Methode ist es allemal.
Kommt auch immer auf die Skills an die jeder Mitbringt.
Das stimmt wohl.
Nachtrag: NtCreateProcessEx() existiert erst ab Windows XP!!!
Und ich habe gerade nachgeschaut (in NTDLL), die benutzen verschiedene Service-Indices, also muß man auch beide hooken. Wie's auf Kernelebene aussieht, habe ich noch nicht nachgeschaut.