Кстати еще по поводу всеработающего адреналина. Немного поковырял процесс L2 под отладкой с запущенным адреналином. Использовал ломанную версию 1,99 из шары, клиент IL.
1. адрик использует апи функции клиента, напрямую пакеты не шлет, во всяком случае основные которые выборочно я проверил (mtl, action, ...)
2. код который вызывает апи функции расположен в секции данных (не кода) основного потока.
3. вызов происходит из главного потока.
Интересно как он только загружает себя в процесс.
Доступ к A.dll которая лежит в папке с ботом, не отслеживается монитором доступа к ресурсам, не от имени адрика не от имени клиента, но без этого файла перехват не работает, неужели все таки загрузка происходит на нулевом кольце?
Ведь никакого драйвера с ботом не идет. Да и как бы запускался неподписанный драйвер так просто.