проинструментировать код, исполняемый в ядре Windows. Есть какие-нибудь идеи? Мне нужно, чтобы моя программа могла получить эту информацию, это не тоже самое что использование SoftICe (или Syser) в "ручном" режиме.

| Сообщение посчитали полезным:

а поподробнее?

| Сообщение посчитали полезным:

У меня есть моя программа, которая на данный момент использует Intel Pin для обработки инструкций исследуемой программы, исполняемых процессором. Проблема состоит в том, что я могу отслеживать все изменения состояния исследуемой программы только в ring 3, т.е. я знаю параметры syscall и состояние после возврата из ядра, но хотелось бы проследить как это всё выполняется в ядре.

| Сообщение посчитали полезным:

SoftIce/Syser/WinDbg "ныряют" в ядро, наверняка у них есть внутреннее API, используемое их графической системой для отображения строчек кода на экране. ну, мне нужно что-то типа SoftIce/Syser/WinDbg с "внешним" API для того, чтобы моя программа могла бы использовать это API.

| Сообщение посчитали полезным:

Если только сам напишешь протоколирование для DebugView, а так наверно нет

Были какие-то утилиты
KAPIMON - kernel & user mode APIs monitoring tool
http://www.microsoft.com/downloads/details.aspx?familyid=5145E060-DD8A-4F5A-B701-160CD3366200&displaylang=en
Kernel Memory Space Analyzer v8.1
http://www.microsoft.com/downloads/details.aspx?FamilyID=e84d3b35-63c3-445b-810d-9fed3fdeb13f&DisplayLang=en


АААААААААА кернел-отладчик хочешь сваять
флаг вам в руки

| Сообщение посчитали полезным:

драйвер сисера экспортирует сваи функи. Значит если подглядеть как их юзать

| Сообщение посчитали полезным:

Я надеюсь, ты понимаешь, что из ринг3 ты в общем случае разглядывать ринг0 не сможешь? И что весь код-обработчик разглядывания ринг0 должен уметь работать в ринг0 и юзать только натив апи?
Как вариант-для SoftICE есть расширения, типа IceExt, который в сорцах, можно поглядеть, как там реализовано встраивание.
И пользуйся кнопкой "Правка", не создавай сообщения подряд.

| Сообщение посчитали полезным:

так я отлично понимаю, что из ring 3 я не "пролезу" в ring 0, так я и ищу систему работающую по принципу: одна часть в ринг 0 её вторая часть в ринг 3, я хочу общаться с её апи, находящимся в ринг 3.

| Сообщение посчитали полезным:

Дык я и поясняю, чтоб нормально ползать по ринг0, ринг3 быть не должно вообще. Ну либо удалённо. Локально на 1 машине в общем случае процессом отладки ринг0 ты не сможешь управлять из ринг3, либо полностью вся система в ринг0, либо удалённо. Максимум, что сделаешь-это что-то типа трассы ринг0, которая при возможности пачкой скинется в ринг3, никакого интерактива и управления из ринг3 в общем случае сделать не получится.

| Сообщение посчитали полезным:

Archer,
так мне и нужна трасса! вот именно поэтому я и говорю о системе "ring 0 + ring 3" на одной машине.

| Сообщение посчитали полезным: