Верно ли, что функция CreateFile с UNC-путём одновременно и посылает, и принимает пакеты?

Я создал простое соединение по SMB между двумя Win10 виртуалками. Пакеты идут - все ок.
По определению известно, что в пакет записывается PID клиентского процесса, поэтому не было проблемой найти его(+проверил через procmon). Клиентом является explorer.exe (проводник windows).
Я нашел место в windows.storage.dll, откуда идут запросы (два рисунка: до и после исполнения CreateFile)


Формат пути -UNC, он и генерирует появление пакетов , что и видно через сниффер.
Возникает несколько вопросов:
1. Почему сразу же приходит ответ от сервера ? Разве CreateFile работает в полном дуплексе?
2. Если CreateFile одновременно не может принимать и посылать пакеты, то как найти то место, куда приходит ответ от сервера?

 

Вообще-то так быть не должно. Какая ОС?

CreateFile отправляет запросы в ядро. Напрямую с сетью он работать не должен, насколько я понимаю.

В ядре скорее всего то место.

 

OC - обе win10
Да, это место действительно где-то в ядре, ведь ниже API вызова только ядро,
Аналогично и с NtQueryInformationFile:

На этом скрине , видно куда записывается ответ сразу после вызова api-функции. Вопрос считаю закрытым, так как задание предполагает, что это место в user-mode, а не в ядре

 

Задание то какое?

 

нужно было сделать длл инъекцию для in memory фаззинга

 

Фазинга чего? SMB?

 

да, клиентского приложения, использующего smb , но так оказалось, что samba только под unix, а в винде пришлось использовать обычный explorer для общения с сервером.

 

Не совсем понятна итоговая конструкция вашего зоопарка, но я не вижу препятствия для фазинга клиентского приложения. В общем-то и хендлер смб фазить никто не мешает, вопрос только с какой стороны это делать.