MmUnloadSystemImage

Нужен аналог этой функции, построенный на основе документированных функций или как минимум экспортируемых ядром. Скорее всего что-то связанное с MmUnmapViewOfSection

 

SystemUnloadGdiDriverInformation.
Тока не знаю как с совместимостью.

 

NtSetSystemInformation (SystemUnloadImage) ?

 

Да, там нет проверок кроме прев. моде:

Код (Text):

1.         case SystemUnloadGdiDriverInformation:
2.             {
3.  
4.                 if (SystemInformationLength != sizeof( PVOID ) ) {
5.                     return STATUS_INFO_LENGTH_MISMATCH;
6.                 }
7.  
8.                 if (PreviousMode != KernelMode) {
9.  
10.                     //
11.                     // The caller's access mode is not kernel so fail.
12.                     // Only GDI from the kernel can call this.
13.                     //
14.  
15.                     return STATUS_PRIVILEGE_NOT_HELD;
16.  
17.                 }
18.  
19.                 MmUnloadSystemImage( *((PVOID *)SystemInformation) );
20.  
21.                 Status = STATUS_SUCCESS;
22.  
23.             }
24.             break;

 

Круто! Спасибо огромное! Сам немного не досмотрел, видел что из NtSetSystemInformation идет вызов, но подумал что там ничего важного не будет