Как в драйвере определить какая программа послала запрос в драйвер?

| Сообщение посчитали полезным:

PsGetCurrentProcess

| Сообщение посчитали полезным:

и имя в возвращаемой структуре будет именем вызывающего приложения?

| Сообщение посчитали полезным:

Подскажите смещения в структуре EPROCESS имени процесса для различных версий Windows (для разных сервиспаков они одинаковы или разные?)

| Сообщение посчитали полезным:

Tolkin, google рулит:
blog.csdn.net/agentfactory/archive/2006/09/07/1190810.aspx

| Сообщение посчитали полезным:

спасибо.
еще нашел вариант решения.
в процедуре DriverEntry (она вызывается процессом System) в структуре EPROCESS ищем это имя и смещение его в структуре.
а затем при приходе запроса в драйвер определяем имя в структуре по найденному ранее смещению.
Метод универсален и не нужно под каждую версию Винды знать смещение

| Сообщение посчитали полезным:

PsGetCurrentProcessId можно, а резолвить лучше в ринг3, чтоб не хардкодить смещения для всех ОС, ибо везде они разные, гугл поможет найти структуры.

| Сообщение посчитали полезным:

Tolkin пишет:
Подскажите смещения в структуре EPROCESS

EPROCESS Vista http://www.nirsoft.net/kernel_struct/vista/EPROCESS.html

-----
EnJoy!

| Сообщение посчитали полезным:

а как можно резолвить смещения в епроцесс из ринг3

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Смещения в епроцесс из ринг3 никак, а вот имя отрезолвить по пиду вполне.

| Сообщение посчитали полезным:

SLV пишет:
а как можно резолвить смещения в епроцесс из ринг3
Можно через ZwSystemDebugControl, но только в XP

| Сообщение посчитали полезным:

в 2003sp1 её урезали как явную брешь в безопасности системы

-----
Shalom ebanats!

| Сообщение посчитали полезным:

По собственному опыту скажу - зае***сь хардкодить смещения EPROCESS для всех осей.
ZwQueryInformationProcess юзать тогда уж

| Сообщение посчитали полезным: