Если общение с драйвером осуществляется посредством отправки ему определённых IRP, то да, ты идёшь в правильном направлении.
Такого не бывает, ищи у себя ошибку.
vladqq Вот это ещё посмотри.
И как тогда у тебя получается возврат на твой же код, если должно быть так: NtUnloadDriver -> jmp -> MyNtUnloadDriver -> trampoline ->...
Не, как решить проблему, это понятно (см. выше), мне больше интересно, зачем вообще хукать NtUnloadDriver?
Реально грамотное решение, поддерживаю. Например, в режиме ядра не всегда есть возможность напрямую прочитать байты. К тому же, источников...
Отлично, жду. Если что, пиши в оффлайн, и когда ты будешь доступен в следующий раз. Примерно раз в сутки я обязательно выхожу в сеть.
Да.
Patching Policy for x64-Based Systems
Стукни в жаббер мне, пообщаться хочу.
Опиши задачу подробнее.
Функция GetIfEntry(). Поля MIB_IFROW.dwOutOctets и MIB_IFROW.dwInOctets.
Ты пытаешься залочить non-paged страницы. Это как бы не совсем нормально. Либо поменяй NonPagedPool на PagedPool, либо вместо...
Посмотри blog.ru, если ещё не. Хотя это не идеал, конечно.
Не экспортируется. Совместимость иногда превыше эффективности.
Иди уж на NDIS-уровень сразу, таких заморочек точно не будет )
Возможно, но недокументировано и ненадёжно (девайсы \Device\Ip и \Device\RawIp). Да и зачем это? На TDI-уровне коннекты различаются совершенно...
Не понял, о какой проверке речь? Есть имеешь в виду поддержку списка tcp-соединений в TDI-фильтре, то да, это хорошее решение, вполне работает и...
Имена участников (разделяйте запятой).
