Да, разумеется.
Ни чем тебе этот указатель не поможет, так ты найдёшь только один из возможных процессов CSR, а их по одной штуке в каждом сеансе висит.
Не угадал. Навскидку написал здесь. Если есть, что добавить, - пишите. А деньги тут как бы и не за что брать-то, всё ж в паблике давно, я лишь...
При правильной организации работы, когда недоверенные приложения запускаются исключительно из-под пользовательского аккаунта, такой проблемы...
Решается проверкой родителя, я отписал уже выше. Да, уточнить бы не помешало.
Сделай сбор информации о процессах с самого начала запуска ядра, включая: 1. Информацию о потоке/процессе-родителе. 2. Информацию о расположении...
А чем не подходит путь к исполняемому файлу в качестве признака? Берём секцию процесса, берём файловый объект оттуда, собираем полный путь и...
У него там прототип новой функции некорректный, там на выходе POBJECT_TYPE будет, а не NTSTATUS. Алсо, чутка обновил свой пост, исправив попутно...
Давненько я ничего в блоге не писал. Оформлю это там, ждите. Кстати, никто не надумал ещё сделать offline-копию блога? А то смотрите, как бы не...
Тебе именно в драйвере? Есть рабочее решение в режиме пользователя. В ядре только начиная с Vista SP1 можно нормально это сделать. Ну если сильно...
\Device\Video0 ---> \Driver\VBoxVideo ?
Да.
Ну проверка такая в ядре есть, значит следует предусмотреть это и в своём коде. Хотя допускаю, что в современных ядрах это уже не нужно, не проверял.
Попробуй так: PVOID pWin32Thread = PsGetThreadWin32Thread (pThread); BOOL bGuiThread = (pWin32Thread && pWin32Thread != KeServiceDescriptorTable);
Поиск файловых объектов для \$Mft, тебе же это нужно?
Выше я тебе уже объяснил почему так.
Если бы ты сразу сообщил о том, что ты гуру, мы не утруждали бы себя ответами. Этот совет был излишним. Честно говоря, не хотел никого...
Эта функция получает на вход адрес объекта, у автора его нет, у него есть только имя.
Почему ты не знаешь тип объекта, имя которого передаёшь в ObOpenObjectByName()? Откуда у тебя это имя? Да, проверка жёстко зашита в ядре.
Да сколько раз уже говорить можно: эти структуры не определены в заголовках WDK, они просто физически не могут быть там определены, потому как...
Имена участников (разделяйте запятой).
