Interaction bidirectionnelle entre l’application en mode utilisateur et le pilote en mode kernel?
Je suis sur le point d’écrire l’interaction suivante:
Lorsqu’un processus sur le sharepoint démarrer, le pilote en avertit l’application et attend la réponse de l’application.
L’application décidera d’autoriser ou non la création de ce processus ou de la terminer immédiatement, et de renvoyer sa décision au pilote.
Base sur la décision de l’application utilisateur. Le pilote autorisera ou bloquera alors l’exécution du processus.
Ma question est la suivante: Quelle est la méthode recommandée pour notifier une application en mode utilisateur du pilote, puis faire en sorte que le pilote attende la réponse?
- Programmation en mode kernel en utilisant c ++ simpliste?
- Qu’est-ce qu’un bac à sable
- Trace du kernel Windows 7 WinDbg
- Modification du pilote de disque Windows pour utiliser les codes de contrôle mis à jour comme IOCTL_DISK_GET_DRIVE_GEOMETRY_EX
- Appels système dans Windows et API native?
Pour la notification d’événement, vous pouvez utiliser un événement de notification. C’est-à-dire que le kernel appelle IoCreateNotificationEvent et KeSetEvent. L’utilisateur appelle KeWaitForSingleObject. Pour la communication de message utilisateur-kernel, vous pouvez utiliser IOCTL.
Alternativement, vous pouvez simplement utiliser un canal nommé pour les deux objectives.
PS Vous ne pouvez pas utiliser PsSetCreateProcessNotifyRoutine () pour votre objective car il est uniquement destiné à l’audit, mais pas à la prévention / annulation.