Здравствуйте, TarasCo, Вы писали:

А>>

А>>buff = (DWORD *)Irp->AssociatedIrp.SystemBuffer;
А>>dwProcessId = buff[0];
А>>

TC>Меня в это место смущает. Если Вы находитесь в обработчике Irp, то это скорее всего пользовательский поток и из него нельзя вызывать Nt функции. Хотя это и не должно приводить к системной ошибке, должен быть access denied.

Нет, это обработчик IOCTL-запроса. Если можно, объясните подробно, как влияет контекст на вызов Ntxxx.
Как можно перейти к нужному контексту? Был бы очень рад какой-нибудь ссылке на тему