И так! Про это скажут многие сказано достаточно, но всё это фуфло )))! Сказано, да сказано, тока вот как в реале реализовать, многие знают тока под Linux, многие знают, как это сделать, когда идёт патчинг отдельно взятой проги(например при её взломе), где всё халява, где всё видно в какую область данных она грузится и что да как вызывает!!!! А вот, что если просто взять и перехватить Syscall, тут вазникают траблы! И так есть два пути перехватаЖ 1) Заменить нужную функцию в таблице экспортов-> трабл эта таблица не всегда грузиться по одному и тому же месту 2) Взять, эту функцию и прям в ней поставить jmp на наш обработчик-> трабл, при этом надо не потереть ничего другого, а в Cpp — файле качественно сделать asm вставку по возврату! 3) все эти функции, грузит из библиотек ntoskernrl.exe(если я не ошибаюсь) и патчить его-> трабл СТРАШНО!
Вывод: Кто, если как-нить отлавлил syscall( Ну просто так для интереса например считал скока раз вызывается NtCreateFile )) )То напишите как, без всяких там умных слов!!! P.S: умные слова нужно обычно потом, когда идёт отладка!!!