Здравствуйте, BArt, Вы писали:

BA>Здравствуйте, Геннадий Майко, Вы писали:

ГМ>>Здравствуйте, Злость, Вы писали:

ГМ>>>>Если по каким-то причинам такой подход не устраивает, попробуйте реализовать пример 6.2 "Creating a Win32 Process" из книги Garry Nebbett "Windows NT/2000 Native API Reference".

З>>>Это пример — мне кажется для user-mode все таки.
ГМ>>--
ГМ>>Да, я тоже так думаю. Я поэтому и предложил: "попробуйте реализовать", — насколько я понял, практически все эти функции или их аналоги доступны в kernel mode.

BA>Спасибо, как я раньше его не заметил, это поможет но не совсем. Во-первых нужно запустить процесс без участия user-mode, во-вторых я бегло посмотрел пример, там используется вызов ZwCreateProcess, дело в том, что в режиме ядра не экспортируется эта точка входа (возможно есть еще такие), таким образом видимо нужно найти адрез начала процедуры ZwCreateProcess режима ядра, но как?

Могу посоветовать... поиск по группам гугла зделать...

Как я понял — там надо просто запускать через APC. Который будет выпонятся в уже в user-mode, а уже из него сможешь зделать все-что хочешь.

Клучевое слово "Перенаправление в/в для процесса, запущенного из драйвера" помоему.. так.