Я искал в свое время на ntdll.dll с IDA.
Раньше я использовал NtAccessCheckAndAuditAlarm / NtDisplayString для кодирования egghunters, чтобы анализировать память и проверять, могу ли я читать память из PE.
Но это работает в более старой версии windows больше не на win 10.
В настоящее время я использую Win 10 и выяснил, что NtAccessCheckAndAuditAlarm и NtDisplayString больше не существуют, но заменены на ZwAccessCheckAndAuditAlarm и ZwDisplayString (которые являются функциями ядра)
Так что мне было интересно, когда произойдут изменения.
И так, если в пользовательском режиме есть другие функции для замены этих 2, потому что я не хочу писать код ядра.
Спасибо