M>Нет, это обработчик IOCTL-запроса. Если можно, объясните подробно, как влияет контекст на вызов Ntxxx.
M>Как можно перейти к нужному контексту? Был бы очень рад какой-нибудь ссылке на тему

Функции семейства Nt проверяют права доступа. Несмотря на то, что вызов осуществляется из режима ядра, он все равно проходит в контексте какого-то потока, у которого есть токен. Поэтому вызов Nt функции в обработчике IOCTL практически тождественен такому же вызову в UM. Если у Вас нет прав на открытие процесса — Вам не дадут это сделать. Драйвера обычно используют ф. семейства Zw. Они как правило переадресуются соответствующим Nt функциям, но при этом выставляется переменная PreviousMode = KernelMode и проверки безопасности не производяться.