IrpTrace
Найди адрес списка и удали сам, детали см. в исходниках ядра.
Недокументировано. Ещё есть доказательства легальности ваших хуков?
Это внедрение, я же спрашиваю про хуки (перехват кода).
Хорошо, если это так, то приведи мне ссылку на статьи от Intel или Microsoft, где подробно описывается механизм хуков (Splices, IAT/EAT, ...)...
Внедрение .dll для данной задачи есть ещё больший хак, нежели ZwQueryInformationProcess(). К счастью, некоторые недокументированные вещи весьма...
Ты память под буфер не выделяешь вообще, он у тебя NULL как был так и остался. Системные сервисы память, как правило, не выделяют вообще под такие...
В buf у тебя будет записана UNICODE_STRING, следовательно, выводить через DbgPrint() надо так: DbgPrint ("Process Image Name = %wZ\r\n", buf);
Не должно быть такого, код показывай.
Честно говоря, немного не понял, что имеется в виду, поясни. Зачем это, для чего? Какая цель? О какой системе вообще речь? Windows? Первое, что...
PsIsSystemThread()
Крис Касперски не нужен.
Разумеется, нет, но этого от неё и не требуется, т.к. момент её выполнения всё равно известен и, применительно к данной задаче, он вполне...
И что? Какое отношение это имеет к APC?
Нет, конечно, ибо "Minifilter User-Mode Application Functions".
Да, верно, всё время забываю, что в минифильтрах всё несколько проще. Интересно только, а как оно с сетевыми Native-именами работает, корректно ли?
Это печально.
Кратко. Перечислить буквы. Сравнить имена целевых девайсов. Взять букву, если совпало, и приклеить остаток пути. Ну и не лишним будет вот это...
У пользовательской APC есть три важных момента - 1) постановка в очередь, 2) выполнение Kernel-функции и 3) выполнение User-функции. Есть ещё...
В чём конкретно тут проблема, по-твоему?
Имена участников (разделяйте запятой).
