Перехват ядерной функции ObOpenObjectByName()

Добрый день, заинтересовал перехват функции ядра ObOpenObjectByName() поскольку она вызывается при попытке открытия динамической библиотеки
NTKERNELAPI
NTSTATUS
ObOpenObjectByName(
__in POBJECT_ATTRIBUTES ObjectAttributes,
__in_opt POBJECT_TYPE ObjectType,
__in KPROCESSOR_MODE AccessMode,
__inout_opt PACCESS_STATE AccessState,
__in_opt ACCESS_MASK DesiredAccess,
__inout_opt PVOID ParseContext,
__out PHANDLE Handle
);

Собственно интересует вопрос, возможно ли сплайсить ее, если получить адрес функции в ядре (MmGetSystemRoutineAddress), я так понимаю в SSDT таблице ее не будет, так как эта функция напрямую вызывается ядерными функциями (нет выхода в 3 кольцо). Если возможно перехватить и вытащить POBJECT_ATTRIBUTES ObjectAttributes, то подскажите как это сделать.

 

Перехват API функций в Windows NT (часть 3). Нулевое кольцо.

 

ТС, чем минифильтр фс вас не устраивает, и почему непременно нужно сплайсить?

 

Потому что у меня не минифильтр, это лишь одна из задач, которая стоит. На счет сплайсинга я лишь спросил, какими еще можно вариантами воспользоваться. Из ссылки выше, я так понял, что для хранения ядерных функций (без выхода в 3 кольцо) есть отдельная SST ntoskrnl. В ней же можно подменить функцию, как и в случае с SDT?

 

Проблема решена сплайсингом, тему можно закрыть