Подскажите куда копать или ссылку на какую нибудь статейку. Есть программа. Когда ее запускаешь, она добавляет ключ в реестр со своим кернел драйвером (там imagepath и путь к файлу .sys в папке с программой этой), запускает его и удаляет ключ. Типа беспалива =) После этого эта программа и драйвер как то общаются. С помощью proccess explorera увидел в Потоках есть одна DLL'ка, прописана она там примерно так: "library.dll!driverRecvfrom+0x62cc", где "driver" это имя того самого sys драйвера. Собственно в чем вопрос, можно ли как то перехватить что dll'ка принимает от драйвера (или отправляет)? Это вообще реально? И если да, то мб это можно и как то модифицировать на лету? Вообщем полный перехват и контроль. P.S.: программу невозможно запустить через всякие отладчики и тд. Прогонял через Syser драйвер но это ничего не дало. Подскажите как быть.
Наверное надо перехватывать вызов DeviceIoControl. Статьи по перехвату функций winapi запросто гуглятся
http://www.wasm.ru/forum/viewtopic.php?pid=404206 Вот тут посоветовали IRPTrace. Добавил там в хук лист этот драйвер. Запускаю прогу, в терминале пишет "Load32 Start=D52EF000 Size=00D000 MOD=driver.sys"..и все =( Никакой инфы об активности, логов и тд после этого( А так хвалили в той теме эту прогу. Может я что то не так делаю...
