К сожалению, тут я мало чем могу помочь. Насколько я понимаю, обработчики IRP_MJ_CLEANUP / IRP_MJ_CLOSE у тебя объеденены. Т.е. из...
<font color="gray][ LuckyDevil</font><!--color--><font color="gray]: верно ли, что IRP_MJ_CREATE всегда на PASSIVE_LEVEL? ]</font><!--color-->...
"переходник" - это NtOpenProcess. В сети куча примеров хука SDT, статьи и даже в некоторых книгах целые главы этому посвящены. Может быть...
Погоди... я забыл, что ты FileSpy мучаешь. Тогда не пойдёт, т.к. имена файлов само-собой и на китайском могут быть.
Если тебе только латинский текст сравнивать, т.е. коды символов не выходят за пределы 127, можешь выдрать из исходников RtlCompareUnicodeString...
На порядок загрузки драйверов никак не влияет порядок их установки. Объяснять долго. Ищи в доках: lower-level class filter driver lower-level...
Сабж не знаю, а порядок загрузки (на моей системе) в аттаче. [img] _1775412688__LoadOrder.gif
http://www.wasm.ru/forum/index.php?action=vthread&forum=4&topic=11483
Во-первых, ты обращаешься к RTL_USER_PROCESS_PARAMETERS в своём процессе, во-вторых читаешь путь опять же в своём процессе ;) ЗЫ: Определения...
Вряд ли кто-нибудь подскажет - слишком сложно, слишком долго объяснять и шибко много надо знать + куча недокументированностей. Принцип загрузки...
NTSTATUS SfCreate ( . . . ) { . . . // // If this is for our control device object, don't allow it to be opened....
Конечно помогу, чем смогу.
Это уже слишком глубоко в фс. Я - пас.
К сожалению, я не спец в фс. Копать некогда. На твоём месте, я бы пошёл путем дизассемблирования драйвера Зезулы. Судя по размеру, нового кода там...
Цитата из DDK "Using Fast I/O": This last routine is a most curious one. The ntddk.h file does provide a hint as to the purpose of this...
Формат гугли по "Microsoft Portable Executable and Common Object File Format Specification"
Никак :)
<font color="gray][ Polimorph</font><!--color--><font color="gray]: если можно айти пож та ссылки или документацию по этому вопросу...
http://www.security.org.sg/code/SIG2_DefeatingNativeAPIHookers.pdf
Не, погоди. Я попутал чуток. Это у тя содержимое каталога \src\filesys от Windows Server 2003 IFS Kit у него тоже билд 3790. Так что всё...
Имена участников (разделяйте запятой).
