Особенности поведения IoConnectInterrupt и IoConnectInterruptEx

1. Вопрос, кто занимался исследованием функций, почему невозможно подключится к любому прерыванию, а только к некоторым. Допустим я хочу подключится к 0х45, а функция выдает ошибочный параметр.
2. почему параметр

Код (Text):

1. NTSTATUS
2.   IoConnectInterrupt(
3.     OUT PKINTERRUPT  *InterruptObject,
4.     IN PKSERVICE_ROUTINE  ServiceRoutine,
5.     IN PVOID  ServiceContext,
6.     IN PKSPIN_LOCK  SpinLock  OPTIONAL,
7.     IN ULONG  Vector,
8.     IN KIRQL  Irql,
9.     IN KIRQL  SynchronizeIrql,
10.     IN KINTERRUPT_MODE    InterruptMode,
11.     IN BOOLEAN  ShareVector,
12.     IN KAFFINITY  ProcessorEnableMask,
13.     IN BOOLEAN  FloatingSave
14.     );

Vector в 2000 равен прерыванию к кторому подключаемся, а в XP на 0x100 больше?

 

Некоторые прерывания не шареные, т.е. создании был задан параметр ShareVector.

 

Добавлю, если к этому прерывания никто не подключен еще, то нужно выделить ресурсы для подключания к нему. Для этго есть функции, которые уведомляют винду куда ты будешь коннектится. Не помню название функции просто.

 

Denwer

Про ShareVector я знаю, а вот выделить ресурсы для подключания к нему. Для этго есть функции, которые уведомляют винду куда ты будешь коннектится помоему это можно сделать в ответ на IRP_MN_QUERY_RESOURCE_REQUIREMENTS, но если драйвер вообще не создает устройство, а просто хочет обработать прерывание.

Что касается IoConnectInterrupt здесь все стало понятно - конектится только к APIC валидному вектору + еще ShareVector = True в предыдущем конекте другого драйвера.

Но Вот Вопрос - хочу приконектится к другому (не APIC) прерыванию (модификация IDT отпадает сразу) используя функции OS. Я думаю нужно капать в boot драйверах тех что грузятся на раннем этапе. Но хоть на вскидку какую функцию пользовать.

 

Меня тоже интересовал данный вопрос. Ничего путного не нашол, кроме как найти в памяти вектора прерывания и подправить нужные места. Но так как я делал чисто ради эксперимента, то такой метод прокатил. По сути это некий двумерный массив.

 

PROFi

А чем тебя этот вариант не устраивает? Вариант достаточно надёжный. Чего ты боишся ?

 

k3internal

32 бит vs 64 бит нет переносимости, PatchGuard, любая проактивная защита.

 

Дак ты думаешь что ни одна проактивная защита не увидит лишний драйвер на контроллере прерываний ? Тогда ты просто не в ту сторону капаешь

 

k3internal

А ты проверь сам

 

А ты все проверял?
да х с ним с проактивкой, если зададутся целью найти то выпалят тем rku

 

Меняй оффсет в IDT, зах тебе эти АПИ ?

 

k3internal

Зайцев AVZ4 не видит

 

PROFi

может модифицировать (временно естественно) какую-нибудь RTE (Redirection Table Entry) APIC'а на нужный тебе вектор, вызвать IoConnectInterrupt() и потом все вернуть назад

 

PROFi

Нашел чем проверять. Возьми GMER или RkU.