Делаю прогу, скрывающуюся от Ctrl-Alt-Del в Win2000.
Все это через перехват функций. Вроде все работает, DLL'ка мэпится во все процессы, запущенные в системе, вроде успешно. Во вновь создаваемые тоже (перехват NtCreateThread и еще одной функции). Делаю проге привилегии отладчика - все ОК! Не сказал о самом главном - перехват осуществляю посредством изменения таблиц импорта во всех модулях процесса. Перехватываю даже LdrGetProcedureAddress. Но при запуске TaskManager'а вываливается exception и баста. Я знаю, что еще надо перехватить LdrLoadDll, но не знаю как реализовать тело перехватчика.
Может быть после этого все заработает и TaskManager не будет материться?!

Коокго рода ошибка? На какой адрес?
Пробовал смотреть через отладчик, например SoftICE?

Не проще было создать свой поток в системном процессе или оформить всю прогу как системную dll или сервис.

А что я выиграю от создания потока в системном процессе?
Если у меня будет тело перехватчика LdrLoadDll, то мне кажется, что все будет работать. Может я не прав?
Мне нужны описания структур, с которыми работает LdrLoadDll.
HELP!!!

А каких структур то? там вроде peb,teb - они известны. Может PLDR_DATA_TABLE_ENTRY, так вот: [url=http://club.shelek.com/viewart.php?id=135.
]http://club.shelek.com/viewart.php?id=135.
[/url]
Иль не то?

P.S.: А зачем сректуры то. Наверное достаточно знать адрес модуля на диске, который передаётся ввиде параметра...

Например, структура IN_INITIALIZATION_ORDER_MODULE_LIST и остальные, так или иначе связанные с LdrLoadDll. Мне нужно как-то слобать тело перехватчика.