Как показало следствие - nt!PipProcessNewDeviceNode для раздела вызывает nt!PpQueryID, которое возвращает следующую строку - kd> du e14bac68...
Всем привет. Копирую с системы диск в образ (например physicaldrive0), после чего через PnpManager монтирую образ в ту же систему. Получаю...
в IRP_MN_QUERY_DIRECTORY передается маска для поиска файла, (типа "*.*", или "*.txt" ). Есть ли какая то функция в ядре, которая для двух строк...
создать процессом мутекс, передать его драйверу, в драйвере создать поток, и ждать этот мутекс. при завершении процесса, мутекс просигналит...
!!! спасиба, чакры резко открылись, карма почти полностью востановилась. :)
мда, но например, если это нужно сделать сразу после вызова ZwCreateProcess(Ex), (если она перехвачена то бишь) то Peb->Ldr нулевой. В этом случае...
Из peb - peb->Ldr->InLoadOrderModuleList - список модулей, первый в нем обычно .exe
хотя, можно самому поискать в памяти, адрес то eprocess у меня есть... большое спасибо 2 Zufyxe!!!
kd> dd 0xFFDFF020 l1 ffdff020 ffdff120 kd> dt nt!_KPRCB ffdff120 +0x000 MinorVersion : 1 +0x002 MajorVersion : 1 +0x004...
>Можно из текущего (из любого) KPRCB взять указатель на KPRCB.IdleThread а оттуда поле KTHREAD.Process. а можно поподробнее? >Только эти...
PsLookupProcessByProcessId возвращает c000000d, в списке, который она перебирает, IDLE нет... Но мне доводится оказываться в контексте этого...
Э, чет я затупил... посмотрел truecrypt - всем спасибо, разобрался.
:) Логика вот : я создаю файл, он сразу после создания очевидно никаких разделов не содержит. После этого создаю устройство, для этого устройства...
раздел - патриция :) :) :) и что?
блин, IOCTL_DISK_GET_DRIVE_LAYOUT возвращает информацию о партициях, а у меня их там там нет, я же пытаюсь отформатировать раздел.
IOCTL_DISK_GET_DRIVE_LAYOUT ни при чем, думается... В общем то драйвер - аналог filedisk. Сегодня проверил - filedisk ведет себя точно так же....
Я создаю виртуальный диск, обрабатываю следующие IOCTL - case IOCTL_DISK_CHECK_VERIFY: case IOCTL_CDROM_CHECK_VERIFY: case...
а как насчет прохучить FtDisk/IRP_MJ_WRITE? А там уже синхронизируемся на мьютексе, заставляем всех ждать, сами делаем свое черное дело, и...
в данный момент у меня этим занимается юзерская программа-источник. Лишний сервис - НУ ОЧЕНЬ ГРУСТНО... Кстати APC - очень даже работает. В...
да, а как сделать это из драйвера? Даже если разобратся с этими ссылками и сессиями, удаление символической ссылки - только пол дела. Нужно...
Имена участников (разделяйте запятой).
