Отслеживание запуска и останова процессов в Ring0

Привет Всем!
Помогите плз немного. Я в драйверах новичок и поэтому такой вопрос:
Нашел тут примерчик, в котором отслеживается запуск и останов процессов в системе.
Делается там с помощью PsSetCreateProcessNotifyRoutine(call_back_func, FALSE). Все работает, но вот как теперь передать в пользовательскую прогу необходимые мне данные, полученные в Ring0 как результат работы моей call_back_func?

 

Статьи Four-F'a посмотри.

 

shared memory зааюзать.

смотри в сторону MmMapLockedPagesSpecifyCache

 

nester7
Спасиб! Я вообще на С делаю, но это тоже читабельно.
Там рассказывается, насколько я понял, про метод через DeviceIoControl(...код_запроса_к_драйверу...) из пользовательского приложения. Но получается, что ее нужно вызывать в цикле, а хочется, чтоб когда процесс создался или завершился, об этом было оповещено приложение из Ring3. Или я что-то не так понял?

 

Great
Спасиб! Ща гляну...

 

LPC ?

 

tylerdurden
изврат имхо))

 

Great
Прально ли я понял: с помощью MmMapLockedPagesSpecifyCache я выделю память для AccessMode = UserMode, запишу туда что-нить, а потом в DispatchControl в pIrp->AssociatedIrp.SystemBuffer нужно поместить указатель на выделенную память?

 

расшарь объект событие. и сигналь из драйвера когда надо. только про синхронизацию не забудь, тк может сразу отрабатыватся несколько NotifyRoutine.

 

n0name
Спасиб!
А можно где-нить поглядеть примеры на С желательно?

 

И еще непонятно, как все же из юзер мода я доступ получу к расшаленной памяти?

 

Часть 8: Базовая техника: Работа с памятью. Совместно используемый раздел
Часть 9: Базовая техника: Работа с памятью. Разделяемая память

 

nester7
Угу, спасиб!
Т.е. мне нужно сначала создать разделяемые событие и буфер, потом получить их указатели в Ring3 и потом писать из драйвера в разделяемую область и сигнализировать об этом приложению... Я прально понял механизм?

 

prus
дада. пишешь в ядре по ядерному указателю, в ринг3 читашь по юзермодному указателю когда событие сигналится.
в двух словах - выделяется буффер, желательно nonpaged (через ExAllocatePool). Далее IoAllocateMdl, MmBuildMdlForNonpagedPool, MmMapLockedPagesSpecifyCache. и у тебя есть юзермодная проекция этого буффера.
подробнее в статье форфа

 

Great
Угу. Буду пробовать и разбираться. Напишу, если не получится что-то.
Спасиб за помощь!

 

А скажите: как можно время системное в драйвере получить? Ну что-то типа GetSystemTime в Ring3

 

KeQuerySystemTime()

 

n0name
Спасиб!
А где в LARGE_INTEGER находится количество секунд? В Low или High? Ну как в time(&_time) чтоб...

 

там хранится число сотен наносекунд. в обоих полях сразу - это 64битное значение.

 

Great
Ясно, спасиб.
Я с помощью RtlTimeToTimeFields() лучше нормальный вид получу сразу .