@Olli: Genau meine Ansicht! Kannst dir ja mal die Krio Firewall anschauen. Die macht einen SSDT hook auf ettliche Funktionen (NtWriteProcessMemory usw) und dann noch mal einen hook auf Userebene (mit Relativem Offset [0xE9] und dann wahrscheinlich noch ohne auf die HotPatches zu achten. Obwohl der Usermode Hook rein gar nichts bringt und der kernel Hook ausreichen würde.

Sie springen dann zu ihrem Speicher, wo sie ein NtLoadDriver aufrufen (nachgebautes) und anstatt dem PChar ein signed Byte (< 0) übergeben. Dadurch kann der SSDT hook auf NtLoadDriver erkennen um welch usermode API es sich handelt.

Netterweise kann ich aber durch einen Aufruf von CreateRemoteThread (welche unter 2k irgendwie falsch gehandled wird) die Firewall crashen und somit wider normal Pakete ins Inet schicken. Sehr sehr schön oO.

Naja war jetzt bisl Offtopic, aber ein Ring0 hook reicht aus und sollte der bei deinem Tool ebenfalls vorhanden sein dann brauchste die Api auch auf User ebene nicht nachbauen.