Собственно вопрос... Узнал, что копать надо в сторону изменения IRQL и ф-ций KeStackAttachProcess/KeUnstackDetachProcess, но есть 2 вопроса: 1) параметры обеих ф-ций - темный лес, так как нет ни DDK ни нормального справочника на сию тему 2) даже если бы были параметры - как перебрать процессы? Нутром чую - ZwQuerySystemInformation, только вот что дать скушать этой нее******ной ф-ции, чтобы она выдала то, что мне надо? К примеру - нужно переключиться на процесс winlogon.exe и сразу же вернуться обратно...
NTKERNELAPI VOID KeStackAttachProcess ( IN PKPROCESS Process, OUT PKAPC_STATE ApcState ); NTKERNELAPI VOID KeUnstackDetachProcess ( IN PKAPC_STATE ApcState ); NTKERNELAPI NTSTATUS ObReferenceObjectByName ( IN PUNICODE_STRING ObjectName, IN ULONG Attributes, IN PACCESS_STATE PassedAccessState OPTIONAL, IN ACCESS_MASK DesiredAccess OPTIONAL, IN POBJECT_TYPE ObjectType, IN KPROCESSOR_MODE AccessMode, IN OUT PVOID ParseContext OPTIONAL, OUT PVOID *Object );
Первая ссылка в гугле на KeStackAttachProcess дает http://msdn.microsoft.com/library/default.asp?url=/library/en-us/IFSK_r/hh/IFSK_r/keref_de4fc228-753f-4077-8372-e5330c96d317.xml.asp ЗЫ: Гугл рулит.
n0name А ObjDereferenceObject делать нужно? А то слышал, если не сделать, останется ссылка, а это не есть гуд... Если нужно - пожалуйста параметры сий ф-ции в студию...
