Нагуглил, что на сабж есть указатель в структуре EPROCESS. Но эта структура находится по адресам > 7FFFFFFF, те приложению в 3 кольце недоступна. Причем я не нашёл где эта таблица располагается сама. В принципе по логике она располагается там же, тк непосредственно её нельзя изменять из процесса, но ведь это область памяти проецируется на виртуальное адресное пространство каждого процесса и это мне в этой логической цепочке и не нравится (ну зачем в каждом виртуальном адресном пространстве держать таблицы всех процессов).
Собственно вопрос - можно ли посмотреть в отладчике (в том же OllyDBG) 3 кольца эту таблицу както, да и вообще она доступна хоть както с ring3? Ведь Olly както показывает список хэндлов процесса, в том числе хэндлы объектов ядра.

Мне кажется я чегото недогоняю ... У Рихтера, ктр я счас начал читать она описывается несколько поверхностно ...