Ich muß das thema nochmal aufwärmen
Also die native apis scheinen dann nicht ganz das richtige zu sein.
Wenn nämlich ein hook auf QueryProcessDebugInformation gemacht wird, dann werden wohl auch die native apis gehookt.

Was jetzt brechis methode betrifft - leider funktioniert die so nicht wäre aber sehr interessant das hinzubekommen.

Als ersatzlösung wäre es vermutlich möglich mir ntdll.dll aus dem system ordner in mein verzeichnis zu kopieren, die .dll umzubenennen ( zufallszahl oder sowas ) und dann einfach mit loadlibrary zu benutzen.
Wenn ich das jedesmal nach dem programmstart mache, dann wirds mit einem hook auch recht schwer.

Fals ich schon wieder unsinn rede, dann bitte mitteilen

Danke
Arnulf