作者:陆麟
转载请征得作者同意.
1999.11.3

有时候,DRIVER打开了一个文件句柄,但是由于DRIVER通常的初始环境是SYSPROCESS.而实际运行时的环境是不确定的.所以.打开的文件句柄根本就不能用.这时,就需要如下2个UNCOCUMENTED函数了.这2个函数系我在新闻组上和他人讨论,Michael Neitzel告诉我的.
 

VOID
KeAttachProcess (
    IN PEPROCESS Process
);

VOID
KeDetachProcess (
    VOID
);

尽管没公开,却在DDK的LIB里有EXPEORT.所以,只要有原型,用没问题.有了这2个函数,你就可以模拟当前运行环境到自己需要的PROCESS了.