а можно в кернеле стандартными функциями перечислить сабж? вопрос относительно процесса вызвавшего перехваченную функцию в драйвере дабы не искать в в ОС зависимых структурах PEB -> LDR etc например в ntdll есть функция LdrQueryProcessModuleInformation возможно ли вызывать её в драйвере, если да то как?
FreeManCPM да это понятно но смысл в другом они знают как правильно это сделать на конкретной оси и можно ли вызывать функции ntdll из кернела вопрос был
Инжектируй код в АП процесса и вызывай себе на здоровье Тут на всме обсуждение было, как процесс создать из р0. Вот как раз про инжект и переход в р3
Дурость. в описание PEB структуры новые поля добавляют в конец, так что нужные тебе поля постоянны в разных ос >= 2k+, правда, смещение указателя на PEB в EPROCESS, зависит от версии ОС.
TOR правильно говоришь ну тогда ZwQueryInformationProcess более безопасный способ получения указателя
nitrotoluol а почему нет? ntdll не импортирует ничего из юзермодных ДЛЛ, этоже переходник работающий через шлюз прерываний видел я в каком-то драйвере вызов функции через шлюз, предварительно узнав номер из SDT почти все функции до безобразия просты, беглый же взгляд в LdrQueryProcessModuleInformation - содержит много внутренних вызовов функций, но тем не менее опять таки ntdll не импортирует ничего из юзермодных ДЛЛ, другое дело как она там работает с обьектами, памятью, что она делает при инициализации, у нее же свои run-time функции, где грабли могут быть, в таких глубинах я не знаток и потом это конечно же не рационально если конкретно по получению списка, то его уже получил в кернеле ради спортивного интереса интересно
