R0 CREW

MiniFilter

Собственно интересно какие существуют способы получения адреса в юсерспейсе с которого было обращение к файловой системе?
На пример. Ловлю IRP_MJ_WRITE (драйвер мини фильтр ). Соответственно я могу получить PID TID ImageName итд. Необходимо получить адрес откуда был вызов или адрес возврата.
Некоторые способы получения я знаю, но может кто то еще что посоветует?

п.с.
MSR hook не предлагать, и грязные хаки тоже )

Можно попробовать пройтись по стеку от PFLT_CALLBACK_DATA->Thread->TrapFrame->Rsp.

Тред будет в ядре, поэтому по стеку можно лишь дойти до сохраненного контекста юзермодного треда и вот из него уже можно будет получить искомый колстек.