IoFileObjectType - это указатель на переменную, в которой хранится указатель на структуру OBJECT_TYPE, описывающую объект "тип" для объектов...
Исходник спая не подвергался улучшению с твоей стороны? И как понимать "idet vozvrat v funkcyu"? Судя по коду, если ObReferenceObjectByHandle...
Если нижестоящий драйвер синхронно завершает IRP, то теоретически порядок вызова процедур будет именно таким, как ты привел. Смотри: в...
Да.
<font color="gray][ LuckyDevil</font><!--color--><font color="gray]: В тоже время как выясняется IO_STACK_LOCATION, может иметь 2 различные по...
В системе есть несколько рабочих потоков (system worker threads), которые любой драйвер может использовать для всякой черновой работы. Работают...
Я ж тебе предлагал вариант через WorkItem. Там PreviousMode уж точно будет KernelMode. А вообще, странное решение какое-то: создавать файл из...
"Вспомните, что при передаче IRP нижестоящему драйверу, драйвер kbdclass скопировал свой блок стека в следующий, использую макрос...
Упс... это, наверное, не то ;) Так он стеки ядра у драйвера запрашивает, но всё равно посмотри. А юзерный стек, наверное, надо искать в TEB....
Забыл сказать... Драйвер только сбрасывают ProcessExplorer'у стек, а саму раскрутку он уже сам делает без помощи драйвера. Примеры раскрутки стека...
Ну если ты уверен что в контексте вызывающего процесса, то тогда проще. В ProcessExplorer есть такая фича - в свойствах потока он показывает...
Как видно, они могут обломиться. Если есть исходники системы, я бы проанализировал функции, формирующие IRP и посмотрел, как и когда заполняется...
IoGetRequestorProcess / IoGetRequestorProcessId - обе документированы. IoGetRequestorProcessId вызывает IoGetRequestorProcess, которая делает...
<font color="gray][ axelx</font><!--color--><font color="gray]: Где можно найти пример или документацию по CcFlushCache или CcPurgeCacheSection?...
FileDisk не смотрел, но возможно нужно добавить fast I/O dispatch - структура FAST_IO_DISPATCH. Запросы к кэшированным данным через через неё...
Ядерная куча организована в виде нескольких ассоциативных списков разного размера, хранящихся в структуре KPCR: kd> !kdex2x86.strct KPCR...
filemon делает просто - выделяет буфер фиксированного размера, цепляет его в односвязный (кажется) список и потихоньку начинает забивать инфой....
Ищи в примерех к ДДК использование IRP_MJ_FLUSH_BUFFERS, например, в исходнике DDK\src\filesys\fastfat\ функция FatHijackIrpAndFlushDevice. В...
Странный вопрос. Ты не можешь этого не знать. Когда ты подключаешься к стеку то вызываешь IoAttachDeviceToDeviceStack, которая и вернет адрес...
Эта функция ядром не экспортируется, а по сему в либах её нет. Вот и unresolved external поэтому.
Имена участников (разделяйте запятой).
