Odpověď na názor

> Crowdstrike (anebo Imperva) funguji na podobnem principu, jako drive fungoval kernel
> driver heroin.ko. Natahne se do kernelu, prepise pointery na ruzne funkce a pak filtruje
> syscally, protoze vsechno tece pres nej. Je to v podstate virus/backdoor.

Tohle na Windows od dob Vista tak jednoduše nejde, pokud nepoužijete HW virtualizaci (což počítám, že snad nedělají). Systém kontroluje integritu důležitých ovladačů a hodí BSOD, když se mu něco nezdá. Takže vám zbývá využívat různá dokumentovaná rozhraní a hookovat uvnitř aplikací (lépe zachytíte jejich vztahy a dostanete více kontextu pro monitorované operace). Samozřejmě i tak je tam spousta prostoru pro BSOD.

Jinak slouhlas.