DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS

Можешь так же посмотреть в сторону ZwYieldExecution()

 

Пробовал без 500 мс. - задержки вызвать эту функцию. BSOD'ы стали реже выскакивать, но все равно они есть. Думаю, ее можно использовать как дополнительное средство задержки перед задержкой в 500 мс.

 

Crash

Я тебе об этом говорил ещё выше.

Не совсем верно. Иногда они возвращаютса=))

 

ИМХО не семафоры, а просто глобальная переменная, и в самом начале хука и конце хука:

__asm lock inc inside_body;
....
__asm lock dec inside_body;

и перед выгрузкой отхукать и ждать когда inside_body будет 0, проверив потом еще EIP (если тред застрял в до inc или после dec).

 

Deyton

вот кстати да, а всегда так хуки персчитывал и всегда работало

hook_proc:
cmp dword ptr [shutdown],0
jne real_proc
lock inc dword ptr [inhook]
...
call real_proc
...
lock dec dword ptr [inhook]
ret

без таких Guard-ов как только не падает, хорошо если с передачей управления в освобожденную память, а если нет? полный П...

 

Deyton

А как такое сделать?

 

На самом деле, не так уж просто

http://www.wasm.ru/forum/viewtopic.php?id=21856

 

Может я уже поздновато вклинился, но всеже....
Имею аналогичную проблему, только мой драйвер перехватывает DRIVER_OBJECT->MajorFunction. Попробовал решить эту проблему следующим способом:
вместо вызова через call eax использовал

Код (Text):

1. leave
2. jmp eax

поидее с таким приемом управление передается оригинальной процедуре и при завершении irp мой участок кода уже не участвует. Все бы хорошо, но срабатывает это только один раз почему то.... т.е. загрузил драйвер - выгрузил, загрузил и при выгрузке BSOD PAGE_FAULT_IN_NONPAGED_AREA. Отловить пока не получается. Поэтому хочу спросить у wasm-сообщества решает ли данный метод проблему(хотя бы в теории) обсуждаемую в этом топике (и следовательно bsod из-за кривых ручек) либо есть какие то подводные камни?

 

неужели ни кто не пользовался такими приемами?!

 

ну давай параметры бсода и !analyze -v.
гадать на кофейной гуще пока не умеем

 

Я не прошу разобрать мои ошибки. меня интересует правильный ли я использую подход для того чтобы не участвовать в завершении irp и свободно выгружать свой драйвер когда захочу.