Как узнать оригинальный адрес IopfCallDriver, если pIofCallDriver захучено. Сканить память на предмет сигнатуры просьба не предлагать
XPSP2, процедура инициализации - секция INIT, смещение - 0x64AB, также заполняет pIofCompleteRequest, pIoFreeIrp, pIoAllocateIrp. SP2, SP3 - IopfCallDrive находится сразу за IofCallDriver(опкод Jmp D[pIofCallDriver] занимает 6 байт, после как обычно 5xNop и IopfCallDriver) W2k8, Vista - IopfCallDrive является частью кода IofCallDriver, находится после Int3). В SP1 - хз как по нормальному без сигнатурного поиска определить.
