Здравствуйте, ononim, Вы писали:

А>>Пробовал открыть ZwOpenFile (дальше хотел мапить и посмотреть ImageBase) — но не получилось, при открытии произошла ошибка STATUS_OBJECT_PATH_NOT_FOUND (если не ошибаюсь).
O>какой путь передавали в ZwOpenFile ? надо бы "\\SystemRoot\\system32\\ntdll.dll", DOSовские симлинки (те которые \??\) на этом этапе еще не подмонтированы.

Вы правы, передавал "\\SystemRoot\\system32\\ntdll.dll" — опробовал "\\Device\\HarddiskVolume1\\Windows\\system32\\ntdll.dll" — заработало, но тепер другой вопрос постает: как получить этот путь динамически?