устанавливаю я путем записи в MSR регистр новый обработчик syscall. делаю это естественно под ВМ, чтоб лишний раз не перезагружацо. под ВМ все отлично, обработчик работает пока не выгружен драйвер. решил провереть на реальном компе. и получилась такая фишка, что мой обработчик пару раз срабатывает, а потом каким то чудесным образом в MSR регистре оказывается адрес старого обработчика.. в чем может быть проблема? это врядле фаерволл, так как у меня фаер и на ВМ стоит.
нет восстановление происходит после вызова DeviceIoControlFile, при чем всегда с одними и теми же параметрами.. вобщем там в соседней теме я уже песал.
