Здравствуйте. Пытаюсь блокировать процессы в kernel-mode. Сначала пробовал заблокировать нужные процессы на стадии запуска, т.е. с созданием коллбэка с помощью PsSetCreateProcessNotifyRoutineEx. Запуск процессов таким образом блокируются, но только с ошибками STATUS_ACCESS_DENIED, STATUS_INVALID_HANDLE и подобными. А заблокировать их нужно бесшумно.
Насколько я понимаю, блокировать их нужно в момент создания первого треда, т.е. делая коллбэк с PsSetCreateThreadNotifyRoutine. Я получаю в нем хэндл процесса, определяю, что мне нужен именно он, какие мои дальнейшие действия, т.к. что-то банальное типа ZwTerminateProcess мне, я как понимаю, не подходит? Прочитал статью, но поскольку раньше не использовал APC не очень понял как его создавать в данном случае. Вызывать его от этого треда и там просто убивать себя?