Собственно интересно какие существуют способы получения адреса в юсерспейсе с которого было обращение к файловой системе?
На пример. Ловлю IRP_MJ_WRITE (драйвер мини фильтр ). Соответственно я могу получить PID TID ImageName итд. Необходимо получить адрес откуда был вызов или адрес возврата.
Некоторые способы получения я знаю, но может кто то еще что посоветует?
п.с.
MSR hook не предлагать, и грязные хаки тоже )



Reply With Quote
Thanks