Взаимодействие драйвера с программой в user mode

Всем доброго времени суток,
задачка такая: написать прогу которая просто тупо следит за действиями других программ, открытие и закрытие файлов, запись , чтение, создание процессов и т.п., что то на подобие filemon и regmon. Для этих целей написал простенький драйвер который перехватывает соответствующие функции, получает pid и производимые действия, но вот возникла проблема с передачей этих данных проге в userspace которая будет уже обрабатывать их и анализировать. Подскажите пжлста как грамотно передавать эту инфу
p.s. Для управления драйвером использую ioctl

 

чтения по событию. драйвер алармит его, апа читает.

 

n0name
а можно тут по подробнее, я в этом нелегком деле новичек

 

twist
Можно еще в драйвере в список заносить перехватываемые данные, а в приложении опрашивать драйвер с помощью ioctl каждые, например, 20 мс и если там что-то есть вытаскивать эти данные в юзермод.

 

такой вариант не прокатит т.к. в перспективе предпологается установка аларма на действия процессов с последующей заморозкой, например процессу разрешено читать/писать в файлы находящиеся в определенном каталоге, если он полез куда то на лево то его дальнейшая судьба определяется или решением юзера или шаблоном

 

twist
Понятно. Тогда попробуй как n0name предложил.

 

я не понимаю как сообщить проге что нужно прочитать из драйвера данные

 

twist
n0name же предложил в #2 хороший вариант действовать по событиям

 

ну а что значит действовать по событиям?
ну грубо говоря драйвер отловил процесс который открыл файл, а что мне дальше то делать???

p.s. аццки торможу

 

читай про Event'ы + поиск по форуму.

 

самый простой и надежный способ - хранить все это у себя в буфере и отдавать по ДевицеИоКонтрол-у. Никаких таймаутов, никаких синхронизирующих евентов или пар евентов. Вроде так у руссиновича и есть в его монах. Один минус - при большом наплыве сигналов возможны потери, это не всегда разрешено по ТЗ

 

twist
Аццки тормозишь. "Драйверы режима ядра: Часть 14", и вообще, в практически любой книге это описано, т.к. базовая техника.

 

всем пасиба, читаю про events

 

twist
Вообще еще у Уолтера Они в книге было как использовать общее событие в юзермоде и ядре.
Если не найдешь, то могу описать и код привести, как это выглядит.

 

DDK\src\general\event

"This sample demonstrates two different ways a Windows NT kernel-mode driver can notify an application about a hardware event. One is event based method and the other is an IRP based method."

 

prus
Да точно , я по началу на эту книжку внимания не обратил т.к. на англицком она, русского варианта в сети не нашел,рассмотрено 2 способа: через общее событие или IRP ,сижу разбираюсь

 

http://www.ozon.ru/context/detail/id/3137491/
http://www.piter.com/book.phtml?978591180057

 

эээ..я имел ввиду электронный вид