Easyhook - это способ подключения Windows API. Один из способов - внедрить dll.
RhCreateAndInject - Функция дает возможность запустить целевое приложение (в приостановленном состоянии) и внедрить данную DLL (подключаемую DLL). Где LhInstallHook фактически устанавливает хук.
Если я смогу установить функцию перехвата таким образом, вредоносные программы смогут сделать то же самое. Обратите внимание: вредоносная программа работает под тем же пользователем Windows, который устанавливает хук.
Вопрос 1: Можно ли разрешить только определенное приложение, которое может вызвать LhInstallHook и установить ловушку там, где другие не будут!
Вопрос 2: RhCreateAndInject запускает целевое приложение (в приостановленном состоянии)и ввести данную DLL. Можно ли сделать обратное? Например: невозможно заранее узнать вредоносный процесс, скорее можно узнать, какие из приложений являются безопасными. Я хочу, чтобы только несколько приложений могли вызывать реальные API-интерфейсы Windows, где все остальные (вредоносные или неавторизованные приложения) должны проходить через мою функцию подключения?