Existe-t'il une méthode afin de définir les appels aux API native par les couches plus hautes (genre librairie Kernel32). Par Exemple, comment peut on déterminer l'appel sur NTclose lors de l'usage de la fonction CloseHandle. Une espèce de Hook sur API native ... Merci ++

Une autre question. En l'absence de la fonction NtTerminateProcess, le processus resterait-il en cours d'exécution? Ou bien nous sortons obligatoirement d'un contexte de bas niveau vers l'OS Win32 (donc restriction couche native)? 

CloseHandle est directement mappée par kernel32 vers NtClose, alors autant hooker directement CloseHandle, tu trouveras plus facilement sur le net des exemples de hook de l'API user plutot que kernel.

Absence de NtTerminateProcess ??? Mais faut pas y songer, elle est présente obligatoirement. Comme vu plus haut, TerminateProcess est mappée direct dessus et kernel32 ne fait qu'un 'PUSH 0' en plus avant de refiler ExitProcess vers NtTerminateProcess. Plus rien ne tournerait si on faisait sauter un maillon de la chaine à ce niveau.

ciao...
BruNews, MVP VC++

Oki, je capte mieux. Maintenant, la question logistique du soir. Où je peux trouver les en-têtes ntddk.h aussi les .lib et consorts afin de développer directement sur API native (pas la peine de me dire msdn.microsoft, cette adresse je devine $$$) Il y a pas une autre adresse ou méthode (légale bien sûr)?

ben non, tu pourras voir dans une de mes sources (si je me souviens bien) ntdll.lib mais cela fait partie du DDK, pas question de trouver cela ailleurs.

ciao...
BruNews, MVP VC++

Dans mes sources j'ai montré la gestion des fichiers par les APIs Natives ainsi que la gestion de la mémoire.

@+
Arnotic,
Admin CS, MVP Visual C++