Доброго времени суток. Существуют разнообразные перехватчики вызовов API функций, такие как ApiSpy32, например. Есть ли аналогичные утилиты, которые могут перехватывать вызовы функций ядра? Речь идёт именно о перехвате различных функций Io* Zw* Ps*, а не вызовов ядра. То есть, допустим, живёт в системе драйвер какой-нибудь, а нам надо узнать когда и с какими параметрами он обращается к функциям ядра.
Ну похукай и смотри адрес возврата, если он лежит в пределах нужного драйвера, тогда логируй параметры (логировать таким способом, который позволяет IRQL вызова функции) Но вообще проще в отладчике бряк поставить и посмотреть
