Здравствуйте, TarasCo, Вы писали:
[skip]
TC>Функции семейства Nt проверяют права доступа. Несмотря на то, что вызов осуществляется из режима ядра, он все равно проходит в контексте какого-то потока, у которого есть токен. Поэтому вызов Nt функции в обработчике IOCTL практически тождественен такому же вызову в UM. Если у Вас нет прав на открытие процесса — Вам не дадут это сделать. Драйвера обычно используют ф. семейства Zw. Они как правило переадресуются соответствующим Nt функциям, но при этом выставляется переменная PreviousMode = KernelMode и проверки безопасности не производяться.
А зачем мы тут код анализируем, код ошибки то верифайер выдал, что драйвер выгружается и забыл освободить распределение из nonpool.
... << RSDN@Home 1.2.0 alpha rev. 685>>
Правда, Ложь — мне все одно — я имею свое мнение.
Если функция недокументированна — это не значит, что ее не используют все ваши конкуренты в своих продуктах.
Любой строй переходный и отрицать это значит быть закостенелым идиотом.
