NtQueryInformationFile для \Device\XXX

Для такого типа файлов доступны только 3 класса 9,16,17.

Они не представляют никакого интереса. У меня есть хендл файла открытого устройства(\Device\XXX). Не подскажите как получить имя файла?

Работаю в r3, в r0 проще простого.

 

А что в r3 запрещено ? Другой вопрос это не документировано...

 

доступ выще $80000000.

Хотя конечно можно через PhysMem но для этого нужен админ.

 

NtQueryInformationFile можно вызвать из r3 у Four-F в KmdKit есть исходник ObjectExplorer там он использовал ZwQueryObject. Вообще я с ним не разбирался (исходником) но он похож на WinObjEx

 

Да конечно можно. Посмотри на мой вопрос.

Поле ObjectName при вызове NtQueryObject пусто.