Созадать новый процесс из драйвера

Где-то на сайте исходник был (в аттаче смотри), глянь на функцию int execBody(PUNICODE_STRING CmdLine), по-моему это то, что тебе нужно

 

Там кстати с rootkit.com копипаст. Лучше на рутките поискать, там вроде несколько подобных тем.

 

Поэксперементировал с RtlCreateUserProcess, она экспортируется из ntdll, т.е. если я просто в драйвер добавлю либу которая установит точки входа на эту функцию, попросту добавит строку в таблицу импорта, то драйвер разумеется не загрузится вообще, потому как данная DLL юзер модная. Что собственно написано в начале файла с реализацией RtlCreateUserProcess в исходниках винды(only user mode). Пробовал отмаппить кусок(и даже всю длл) этого кода в кернел моде, с учетом всяких переаллокаций разумеется. Короче результат нулевой. В итоге необходимо использовать решения со внедрениями в юзерные потоки.