[HELP] Побег с DPC IRQL

[coree]

Всем доброго дня, меня интересует как можно "покинуть" Dispatch Irql и попасть на Passive уровень? Простой KeLowerIrql такого не позволяет. Прочитал об одном паблик методе (который использовался при загрузке doublepulsar тык). Там патчится syscall, но не очень понял как это вообще должно работать. Просьба поделиться какими-либо другими методами или натолкнуть на более подробное описание работы того метода. Спасибо!

 

[drpalpatine]

did you try KeReleaseSpinLock --> he can release a spinlock and lower the IRQL

a similar situation i had --> i used a DPC to postpone code execution until IRQL level become lower
i used KeInsertQueueDpc to insert a DPC into the queue which execute at lower
but not stable for every situation because the bastard DPC code himself take long time to execute --> the system cries and hangs

 

[coree]

))) Thanks for the answer, I found another way through ExQueueWorkItem