Перехват NtUserGetMessage (кернел мод)

Hello, All.

Через драйвер пытаюсь перехватить NtUserGetMessage.

Известен номер функции, делаю подмену внутри DriverEntry через SDT, вроде бы корректно. Комп перезагружается. Под софтайсом вылетает синий экран с IRQL_NOT_LESS_OR_EQUAL.



В чем может быть проблема, где копать? Не совсем понятно что происходит в случае, если GetMessage обрабатывается, и в данный момент происходит подмена на мою функцию. Тело новой функции очень простое, для проверки:

Code (Text):

1.  
2. {
3. return Old_NtUserGetMessage(...);
4. }
5.  

Спасибо за внимание

 

Во-первых надо хукать в KeServiceDescriptorTableShadow.

Во-вторых win32k.sys где находиться Shadow SDT, мапиться только в GUI процессы, а значит надо делать перед перехватом KeAttachProcess к такому процессу.

 

Большое спасибо.

Буду пробовать, появится еще куча вопросов.

 

Можно ли прицепить на стадии линкования к коду драйвера GetModuleHandle из kernel32.lib?

 

Нет, это функция уровня приложения.

 

Почему же нет? Прицепить можно, только драйвер запускаться не будет

 

Вот ловите исходник этой функции из WINDOWS SOURCE. Может поможет.



Если из исходников чтонибудь ещё надо - пиши вышлю.



levko[бобик]tut[тчк]by

 

Файл не дашел, вот ловите в 7z формате.

_1970562038__ntstubs.7z