Zitat von
nicodex:
Zitat von
sirius:
Ähm, und wie kommst du an die zwxxx-Funktionen ran?
Wie sonst auch. Im Benutzermodus sind die Einsprungpunkte für NtXxx und ZwXxx (wenn es beide gibt) ohnehin identisch.
function NtXxx; external 'ntdll.dll';
Eben. Man nimmt im Usermode die nt, weil diese die zw aufruft (und in den Kernelmode switched). Nur ich fragte, weil Zacherl explizit die zw aufrufen will/tut.