J'ai développé un pilote pour Windows XP qui est capable de surveiller l'exécution des processus.Interception de l'exécution du processus dans un pilote NT
Une fonction de rappel reçoit les notifications à l'aide de l'API WDK standard (PsSetCreateProcessNotifyRoutine).
Le conducteur décide alors si le processus devrait être autorisé ou non; sinon, il doit bloquer son exécution/le tuer.
Quel est le moyen le plus propre d'intercepter l'exécution de cette façon? Cela ne me dérange pas si ce n'est pas documenté, mais je préférerais ne pas avoir recours à l'accrochage, si possible.
Vista RTM ne prend pas en charge PsSetCreateProcessNotifyRoutineEx (mise à niveau vers SP1) – unixman83