Здравствуйте, -prus-, Вы писали:

P>Тут. Может кому пригодится.

Спасибо.
Идея, правда, не новая. На мой взгляд, обычный поиск Zw-функций по сигнатурам надежнее
(обсуждалось на WASM около года назад, практически "по косточкам").

А вместо использования имен образов ядра (ntoskrnl.exe, ntkrnlpa.exe и т.п.) проще
взять адрес любой известной функции ядра типа ZwCreateFile и проверить, лежит ли она в
диапазоне между image base и (image base + image size) модуля. Если лежит — это kernel.