Вызов из Kernel mode API-функции UserMode

[Ллирик]

Можно ли как-нибудь вызвать из Kernel mode API-функцию UserMode?

[Ochkarik]

кое что говорят можно, но это совсем нештатный путь. и будет зависеть от версии ОС.
лучше вызывать через промежуточные приложения/сервисы.

подробнее тут вроде описывают)
Implementation of GetProcAddress and GetModuleHandle for Windows NT3.51/NT4/2000/XP/2003/Vista/7/8 kernel mode, both 32 and 64 bit platforms

[Ллирик]

Тогда ладно) В автозагрузку приложение буду ставить. Оно будет считывать данные из HKEY_CURRENT_USER реестра, передавать их в драйвер и закрываться)

[zubr]

Так реестр можно прекрасно из ядра читать/писать, для этого не надо юзермодные функции использовать, есть ZWxxxx-функции для этого, причем документированы в WDK

[Ochkarik]

Using the Registry in a Driver
в частности
Registry Key Object Routines

PS один нюанс. если загрузка драйвера происходит ранее чем пользователь зашел - то на что будет указывать CURRENT_USER?)

[Ллирик]

PS один нюанс. если загрузка драйвера происходит ранее чем пользователь зашел - то на что будет указывать CURRENT_USER?)

А это уже следующий вопрос) Как в драйвере отследить смену пользователя? Может есть какой-то специальный ioctl?

[zubr]

В автозагрузке драйвер загружает системный процесс, так что CURRENT_USER будет System.

А это уже следующий вопрос) Как в драйвере отследить смену пользователя? Может есть какой-то специальный ioctl?

Нет таких специальных ioctl. Как вариант, можно поставить нотификатор процессов и при открытии процесса проверять его SID.

[Ochkarik]

пользователей и их процессов может быть больше одного)

[zubr]

пользователей и их процессов может быть больше одного)

Так а в чем проблема? Если открывается процесс нужного пользователя (определили по SID его имя), то драйвер работает в контексте процесса этого пользователя, соответственно в данном случае вносим изменения в ветку реестра CURRENT_USER. Естественно, после чего устанавливаем флаг, означающий. что данная операция совершена, чтобы она впоследствии не повторялась при открытии другого процесса данного пользователя.

[Ochkarik]

эт смотря что драйверу надо делать)

[Ллирик]

А может есть какое-то системное событие наподобии Firstwinlogoncheck в BaseNamedObject?
Драйверу надо свои настройки прочитать,  так как у каждого пользователя они свои

[zubr]

В реестре есть ветка HKEY_USERS, которая дублирует ветки CURRENT_USER для всех юзеров. Зная сид юзера, можно зайти в соответствующую ветку HKEY_USERS и выполнить необходимые изменения из драйвера.

[Ллирик]

пользователей и их процессов может быть больше одного)

Так а в чем проблема? Если открывается процесс нужного пользователя (определили по SID его имя), то драйвер работает в контексте процесса этого пользователя, соответственно в данном случае вносим изменения в ветку реестра CURRENT_USER. Естественно, после чего устанавливаем флаг, означающий. что данная операция совершена, чтобы она впоследствии не повторялась при открытии другого процесса данного пользователя.

А если в систему вошло сразу несколько пользователей и идёт простое переключение профиля и никаких новых процессов не создаётся?

[zubr]

А если в систему вошло сразу несколько пользователей и идёт простое переключение профиля и никаких новых процессов не создаётся?

А для чего делаются изменения в реестре? Как я понимаю, для процессов, ибо никто другой их читать/писать не может, даже если юзер сам хочет посмотреть значение в реестре, он открывает процесс regedit под текущим активным юзером. В нотификаторе же вызывается коллбек, когда процесс только создается, еще до загрузки модулей и потоков, то есть на этот момент процесс еще не может делать никаких действий с реестром и внесенные здесь изменения он соответственно получит.
Впрочем, постом выше я указал другой способ без нотификатора.
Ну, если хочется более сложный вариант, можно создать сервис, который будет отслеживать переключение пользователя и передавать это событие в драйвер.

[Ллирик]

Никто ничего никуда не пишет) драйвер из реестра читает свои настройки.

[zubr]

Ну так читай настройки нужного юзера из HKEY_USERS - в чем проблема?

[Ллирик]

А если в систему вошло сразу несколько пользователей и идёт простое переключение профиля и никаких новых процессов не создаётся?

А для чего делаются изменения в реестре? Как я понимаю, для процессов

Настройки драйверу не для процессов, а для операций ввода/вывода производимых на DISPATCH_LEVEL, так что придётся наверно писать ещё какой-нибудь сервис как Вы сказали

[zubr]

Настройки драйверу не для процессов, а для операций ввода/вывода производимых на DISPATCH_LEVEL, так что придётся наверно писать ещё какой-нибудь сервис как Вы сказали

А что, настройки разные для разных юзеров?

[Ллирик]

А что, настройки разные для разных юзеров?

Вот именно. Хорошо, что я практически монопольно владею своим компом, а то бы другой пользователь согрешил бы с такими настройками моего драйвера)) а я без него, как без рук и думаю, что я далеко не один кому мог бы быть очень полезен мой драйвер