Здравствуйте, MShura, Вы писали:

MS>ссылка теперь рабочая.

Огромное спасибо!

MS>P.S.
MS>Удалил файл, через несколько месяцев после публикования, чтобы не занимал места на сервере.

Мне кажется, что зря. Я долго искал нечто подобное в сети — эта ветка была единственным результатом.

Кстати. Я пытался сделать нечто похожее, обойдясь user-mode, через CreateRemoteThread. Почти получилось, не смог обработать только процесс System. Верно ли я понимаю, что kernel-mode драйвер нужен именно для него, а из user-mode с ним никак не совладать?