Методы перехвата API-вызовов в Win32

Данная статья написана в результате анализа известных методов перехвата API-вызовов в Windows.Перехват системных функций операционной системы - приём, известный давно.Обычно перехватывается некоторая системная функция с целью мониторинга или изменения её поведения.Локальный перехват с использованием раздела импорта.Каждому процессу (начиная с Windows 95) выделяется собственное виртуальное адресное пространство.Третий гигабайт - для общих файлов, проецируемых в память (MMF) , и системных DLL.Старшие два гигабайта являются общими для всех процессов.По этой причине эти четыре библиотеки доступны всем процессам в системе.Поскольку этот гигабайт общий, они существуют во всех процессах по одним и тем же адресам.Из соображений безопасности Microsoft запретила запись в область, куда они загружаются.