Помогите разобраться. Перехватываю АПИ в ring-0 для сокрытия файлов. Перехват работает замечательно, но для удобства (как провекок, так и добавление, удаления) хотелось бы иметь список скрываемых файлов. Для этого я определил структуру:

typedef struct _FilesList
{
PVOID NextItem;
UNICODE_STRING FileName;
} TFilesList, *PFilesList;

И для работы с ней написал следующие функции:

void FilesListAddItem(PFilesList *List, WCHAR FileName[])
{
PFilesList wNewItem;
wNewItem = ExAllocatePool(NonPagedPool, sizeof(TFilesList));
wNewItem->NextItem = *List;
*List = wNewItem;
RtlInitUnicodeString( &wNewItem->FileName, FileName );
return;
}

Но при вызове FilesListAddItem(&HidenFiles, L"test.exe"); все падает в синий экран...

Подскажите, может я начал вообще нерпавильно подходить и можно проще?

| Сообщение посчитали полезным:

Варианта 2-посмотреть, как сделано в готовых руткитах с сорцами, благо, таких не мало, но там вроде без списков обычно. Лично я сторонник варианта не выпендриваться с дикими структурами особенно в ядре. Обычно то геморно отлаживать такие вещи, а в ядре сразу синяк. 2 вариант-сайс в зубы и собственно смотреть, где валится. Скорее всего обращается к плохим адресам.

| Сообщение посчитали полезным:

Igit32 пишет:
Перехватываю АПИ в ring-0
В ринг-0 не все можно вызывать. Делай список в ринг-3 или используй разрешенные функции.

| Сообщение посчитали полезным:

Igit32 пишет:
PFilesList wNewItem;
wNewItem = ExAllocatePool(NonPagedPool, sizeof(TFilesList));
wNewItem->NextItem = *List;
*List = wNewItem;
Что-то сттарнно у тя с указателями. Зачем разыменовывваешь wNewItem->NextItem = *List;

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Сделал так, теперь все работает:

void FilesListAddItem(PFilesList *List, PWCHAR FileName)
{
PFilesList wNewItem;
wNewItem = ExAllocatePool(NonPagedPool, sizeof(TFilesList));
wNewItem->NextItem = *List;
*List = wNewItem;
RtlInitUnicodeString( &wNewItem->FileName, FileName );
return;
}

| Сообщение посчитали полезным: