адрес KiDispatchInterrupt

Вот этот код:

Код (Text):

1. __asm {
2.     lea     ebx,KiDispatchInterrupt
3.     add     ebx,2
4.     mov     ebx,[ebx]
5.     mov     addr,ebx
6. }

Равно как и

Код (Text):

1. cPtr = (PUCHAR)KiDispatchInterrupt;

при каждом запуске драйвера выдаёт различные адреса, которые явно не попадают п ntoskrnl и никак не являются адресом функции.

Почему?

 

Потому что обьявлять надо правильно.



extern

NTKERNELAPI

void KiDispatchInterrupt(void);

 

Угу, есть такое.

Это что, ключевое здесь NTKERNELAPI ?

Есть какие-то другие KiDispatchInterrupt (некернеловские), и NTKERNELAPI помогает выделить нужную из нескольких или что за фигня такая? ))

Этот си меня доканает когда-нибудь

 

NTKERNELAPI означает _declspec(dllimport)

Тоесть прямой импорт без переходников.

 

Понял, спасибо.