Какие ограничения накладываются на драйвер при загрузке его через SetSystemInformation. Т.е методом load and call image?
В старой книге Rootkit Windows внедрение в ядро, авторов Холунда и Батлера, есть четкое описание применения этого метода. Там же говориться о том, что при его использовании код может оказаться в страничной памяти на диске, что приведет к bsod. Эта ситуация правильно обрабатывается в следующем рутките migbot. Ссылка из книги www.rootkit.com/vault/hoglund/migbot.zip Ограничений никаких.
Начиная с Windows 2003 процесс, вызывающий NtSetSystemInformation должен иметь установленный флаг nt!_EPROCESS->Vm.Flags.SessionLeader. Таким флагом обладает процесс smss.exe. Поэтому этот метод не работает на 2003-ей sp1 (не уверен насчет версии без service pack'ов и XP sp3) и более поздних.
d2k9 бгг нафиг это надо, не проще ли по-нормальному драйвер загрузить. шелкоды в менеджер сессий, чтобы вызвать недокументированную функцию, какой ужас. тем более, что запалят ваши инжекты в смсс ровно так же, как и обычную подгрузку дрова. в общем, смысла 0
