WFP. ClassifyFn и BSOD

@tnk500 · Регистрация: 25.08.2012

Студворк — интернет-сервис помощи студентам

Итак, перехватываются UDP-дейтаграммы, на этой функции вылетает любимый BSOD. Признаться, я уверен, что она написана неправильно, но что именно, сказать мне трудно. Видимо, что-то во время чтения MSDN упустил.

Не могли бы подсказать, что не так?

ClassifyFn

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
void _stdcall OnClassify(
    __in    FWPS_INCOMING_VALUES0 const           * pInFixedValues,
    __in    FWPS_INCOMING_METADATA_VALUES0 const  * pInMetaValues,
    __out   VOID                                  * pLayerData,
    __in    FWPS_FILTER0 const                    * pFilter,
    __in    UINT64                                  FlowContext,
    __out   FWPS_CLASSIFY_OUT0                    * pClassifyOut)
{
    NTSTATUS status = STATUS_SUCCESS;
 
    NET_BUFFER_LIST* netBufferList,
        *clonedNetBufferList;
    FWPS_PACKET_INJECTION_STATE injectionState;
    FWPS_TRANSPORT_SEND_PARAMS0* tlSendArgs;
    NET_BUFFER* buf;
    int sizeOfPackage,
        j, where;
    char strr[14];
 
    status = STATUS_SUCCESS;
    netBufferList = (NET_BUFFER_LIST*)pLayerData;
    clonedNetBufferList = NULL;
    tlSendArgs = NULL;
    sizeOfPackage = 0;
    j = 0;
 
    /* Проверям, не был ли пакет встроен в стек TCP/IP заранее */
    injectionState = FwpsQueryPacketInjectionState0(
        inject,
        netBufferList,
        NULL);
 
    if (injectionState == FWPS_PACKET_INJECTED_BY_SELF ||
        injectionState == FWPS_PACKET_PREVIOUSLY_INJECTED_BY_SELF)
    {
        pClassifyOut->actionType = FWP_ACTION_PERMIT;
        pClassifyOut->rights &= ~FWPS_RIGHT_ACTION_WRITE;
        return;
    }
 
    pClassifyOut->rights &= FWPS_RIGHT_ACTION_WRITE;
 
    /* Находим размер всего пакета */
    for (buf = NET_BUFFER_LIST_FIRST_NB(netBufferList); buf != 0;
    buf = NET_BUFFER_NEXT_NB(buf))
        sizeOfPackage += NET_BUFFER_DATA_LENGTH(NET_BUFFER_LIST_FIRST_NB(netBufferList));
 
    if (sizeOfPackage < 170)
    {
        pClassifyOut->actionType = FWP_ACTION_PERMIT;
        goto Exit;
    }
 
    /* Создем клона netBufferList */
    status = FwpsAllocateCloneNetBufferList0(netBufferList, 0, 0,
        0, &clonedNetBufferList);
 
    /* Этот цикл просматривает все NET_BUFFER на наличие интересной информации */
    for (buf = NET_BUFFER_LIST_FIRST_NB(clonedNetBufferList); buf != 0;
    buf = NET_BUFFER_NEXT_NB(buf))
    {
        int sizeOfBlock;
        char* data, curr[4];
        int i;
 
        /* Размер блока */
        sizeOfBlock = NET_BUFFER_DATA_LENGTH(buf) - 1;
 
        /*!!! Получаем информацию с NET_BUFFER */
        data = (char*)NdisGetDataBuffer((PNET_BUFFER)buf, sizeOfBlock, 0, 1, 0);
 
        for (i = sizeOfBlock; i >= 0; --i)
        {
            if (data[i] == '@')
            {
                int k, curDigits, digitCount;
 
                while (i < sizeOfBlock && tolowerD((int)data[i]) != 'v') 
                    strr[j++] = data[i++];
                
                /* Если интересующая нас информация располагается в нескольких 
                   NET_BUFFER — ну ее к черту, уходим. */
 
                
                if (i == sizeOfBlock && data[i - 1] != 'v')
                    goto Exit;
 
                parse(strr, &curDigits, curr);
 
                /* digitCount — число, определяющее, сколько байтов нужно добавить в пакет */
                if ((digitCount = strlen(curr) - curDigits) < 0)
                    goto Exit;
 
                /* Смещаем все байты до на digitCount (за счет NonUsedBlock, вроде) */
                for (k = 0; k <= where; ++k)
                    *(data - digitCount + k) = *(data + k);
 
                /* Смещаем смещение и длину данных в buf*/
                NET_BUFFER_DATA_OFFSET(buf) -= digitCount;
                NET_BUFFER_DATA_LENGTH(buf) += digitCount;
 
                /* Записываем данные */
                for (k = 0; k < strlen(curr); ++k)
                    data[where++] = curr[k];
 
                /* Корректируем MDL (мы ведь изменили Offset и Data_Length) */
                NdisAdjustNetBufferCurrentMdl(buf);
 
                /* Инжектим клона в стек */
                status = FwpsInjectTransportSendAsync(inject, 0, pInMetaValues->transportEndpointHandle,
                    0, 0, AF_INET, UNSPECIFIED_COMPARTMENT_ID, clonedNetBufferList, InjectionCompletionFn, 0);
 
                if (NT_SUCCESS(status))
                    pClassifyOut->flags |= FWPS_CLASSIFY_OUT_FLAG_ABSORB;
                else
                    goto Exit;
 
                clonedNetBufferList = 0;
 
                goto Exit;
            }
        }
    }
Exit:
    if (clonedNetBufferList)
        FwpsFreeCloneNetBufferList(clonedNetBufferList, 0);
 
    pClassifyOut->actionType = FWP_ACTION_BLOCK;
    pClassifyOut->rights &= ~FWPS_RIGHT_ACTION_WRITE;
}

Убежденный · 16.10.2015, 23:08

А BSOD с каким кодом ? Упало в какой строке ? Где стек падения ? И т.д.
Навскидку - почему нет проверки, что pLayerData != NULL ?

@tnk500 · 16.10.2015, 23:51 **[ТС]**

Код 0x000000D1: DRIVER_IRQL_NOT_LESS_OR_EQUAL. Ну и остальные :
BCP1: 000000000000011A
BCP2: 0000000000000002
BCP3: 0000000000000000
BCP4: FFFFF880016477FC

Сообщение от Убежденный

Навскидку - почему нет проверки, что pLayerData != NULL ?

Проворонил, поставим. Стоп, а возможна передача нулевого указателя?

Меня пора вешать на первом фонарном столбе, я совершенно забыл погуглить. Я ведь и не знал, что вообще есть .dmp файлы, да и эффект BSOD'a и коды испугали. В общем, сейчас сам проанализирую файл, но вот он сам (Яндекс.Диск), если хочешь, потому что я скорее всего чего-то упущу :)

Убежденный · 16.10.2015, 23:58

На будущее: эксперименты на живой машине и "разбор полетов"
через .dmp-файлы - это далеко не лучшее, что можно придумать.

Значительно удобнее отлаживать драйверы на виртуальной машине с
подключенным отладчиком ядра, там и BSOD-а не будет, пока сам
не пожелаешь, и можно крутить систему так и этак, пока не
найдешь "виновника". А .dmp - это "привет из прошлого", очень
часто по дампу ничего не понятно...

@tnk500 · 17.10.2015, 18:01 **[ТС]**

Сообщение от Убежденный

На будущее: эксперименты на живой машине и "разбор полетов"
через .dmp-файлы - это далеко не лучшее, что можно придумать.

Я, конечно, подавал признаки идиота, но я им не в такой степени являюсь. Конечно, виртуалкa на моих 3 Гб каком-то бюджетнейшем процессоре — не самая лучшая вещь, но живую систему я храню как зеницу ока.

Насчет отладчика — KernelDebugger.exe из DTfW?
Так как все-таки правильно такую программу отлаживать? WinDbg.exe?

Добавлено через 17 часов 29 минут
Я получил смещение от начала функции (от дамп-файла -- OnClassify + 20c). Теперь что, дизассемблер в руки и вперед? Или есть более эффективный путь?

Убежденный · 17.10.2015, 18:45

Подключи PDB-файлы и будешь видеть названия функций, имена и значения,
переменных, нормальный стек и т.п.

По поводу отладчика я настоятельно рекомендую WinDBG и только его.
Там огромное количество самых разных команд, а также возможность
подключать расширения, например мои любимые pykd и cmkd с Python.

Вот здесь написано, как подключить отладочные символы Microsoft:

Use the Microsoft Symbol Server to obtain debug symbol files
https://support.microsoft.com/en-us/kb/311503

Ну а дальше все по накатанной: ставишь VBox/VMware/Hyper-V, -
кому что больше нравится, - переводишь ее в режим отладки и
коннектишь WinDBG через виртуальный COM-порт (-> pipe).

А если есть дополнительный монитор, то лучше вывести окно
отладчика на него, тогда вообще шик !..

@tnk500 · 17.10.2015, 21:42 **[ТС]**

Сообщение от Убежденный

А если есть дополнительный монитор, то лучше вывести окно
отладчика на него, тогда вообще шик !..

Дополнительный монитор?) Хах, мне бы завтра нормально поесть, куда там, мониторы :D

В общем, нехорошая ситуация вышла. Вылет происходит в 74 строке:

C
1
if (data[i] == '@')

Честно говоря, странно. Все инициализировано, pLayerData не пустой, вон и отладчик говорит, что там на целых 500 байт DataLength у текущего NET_BUFFER... А ВОТ data (70 строка) ПУСТОЙ, во всяком случае, так отладчик говорит (скрин приложен).

Убежденный · 17.10.2015, 22:15

tnk500, а что тут удивляться-то, собственно говоря ?
Почитай внимательно описание NdisGetDataBuffer, там есть ответы.

И вообще, возьми за правило: если нет стопроцентной уверенности,
что функция всегда будет возвращать ненулевое значение, то всегда
должна стоять проверка на NULL.

@tnk500 · 17.10.2015, 22:22 **[ТС]**

Получается, data может быть равно нулю... Значит, нужно "листать" список до тех пор, пока не найдется тот NET_BUFFER, от которого получим корректный указатель на данные... И лучше загонять data в качестве параметра (вроде)... Ладно, потестирую, хоть от синего экрана избавлюсь (если других ошибок нет).

Правило полезное, частенько забываю о нем. Вот кстати к этой функции я описание не полностью читал, зато бы уверен, что получу отличный указатель на данные.

Убежденный · 17.10.2015, 22:23

Сообщение от tnk500

Значит, нужно "листать" список до тех пор, пока не найдется тот NET_BUFFER, от которого получим корректный указатель на данные...

Нет. Если тебе нужно содержимое NET_BUFFER, а не нули, нужно
передавать немного другие аргументы в NdisGetDataBuffer.

@tnk500 · 17.10.2015, 23:57 **[ТС]**

Убежденный, так, стоп, тут я немного не понял. Непонятно предназначение третьего параметра. Если блок данных непрерывен, получаем указатель на него через возвращаемое значение. Иначе он вернет ноль, зато скопирует непрерывный блок в третий параметр, так? Хм, как же тогда понять, что ноль возвращен не потому что там некорректено число запрошенных байтов, а именно потому, что блок данных не является непрерывным.

Убежденный · 18.10.2015, 00:32

Смотри: тебе нужно прочесть данные, которые лежат в NET_BUFFER. Существуют два
основных подхода, даже можно сказать идеологии. Первая (назовем ее callback-модель)
подразумевает проход по всем разбросанным буферам, MDL и т.п. и на каждый кусок
данных вызов определенной функции (callback). Эта модель сложна в реализации,
но она самая эффективная, поскольку здесь нет ни выделений и освобождений памяти,
ни копирования. Вторая модель, более простая (пускай будет object-модель),
заключается в том, чтобы сначала склеить все куски данных в один промежуточный
буфер, а затем уже работать с ним. Короче, прямо как SAX и DOM в обработке XML.

NdisGetDataBuffer - это и есть предоставленная драйвером NDIS реализация
второго метода. И ей нужно во время обработки данных откуда-то брать этот
промежуточный буфер. Если данные непрерывны, то NdisGetDataBuffer просто
возвращает указатель на них. Если данные разбиты по буферам, то NdisGetDataBuffer
сначала склеивает их в буфере, который предоставил клиент, а затем возвращает
указатель на них. Ну а если буфера нет (третий аргумент == NULL), то и
склейки нет и функция вернет NULL. Это все есть в документации...

@tnk500 · 18.10.2015, 00:44 **[ТС]**

Значит, я правильно понял, замечательно. Я, по правде, слишком задержался с драйвером, поэтому этой функцией ограничиться придется. Что ж поделать...

Кстати, большущее спасибо. Я ожидал, что через пару вопросов меня кинешь, а нет, каждый вопрос разъясняешь, да еще как! Просто не знаю, что и сказать.

Убежденный · 18.10.2015, 00:47

Сообщение от tnk500

Значит, я правильно понял, замечательно.

Если ты имел в виду это:

Сообщение от tnk500

Иначе он вернет ноль, зато скопирует непрерывный блок в третий параметр, так?

То нет, неправильно

Сообщение от tnk500

Кстати, большущее спасибо. Я ожидал, что через пару вопросов меня кинешь, а нет, каждый вопрос разъясняешь, да еще как! Просто не знаю, что и сказать.

Да ладно, все ок.
Ты спрашиваешь - я отвечаю. Для этого и существует форум...

@tnk500 · 18.10.2015, 02:23 **[ТС]**

Убежденный, аааа, так он в любом случае вернет корректный указатель, главное, чтобы буффер был достаточным? Так даже лучше, отлично.

Добавлено через 1 час 15 минут
И все же меня беспокоит одна деталь. Достаточно ли просто изъять данные, изменить их (как я делаю в программе), заинжектить их, чтобы изменённые данные увидел адресат?

Убежденный · 18.10.2015, 09:28

Не могу точно ответить на этот вопрос, с техникой "clone-and-reinject" не работал.
Но если ты все сделаешь согласно документации, не забудешь про всякие флаги и т.п.,
то не вижу причин, почему бы это не должно работать.

@tnk500 · 18.10.2015, 19:36 **[ТС]**

Похоже, от этой техники придется отказаться. Я не знаю, не менялись ли данные только потому, что я отправлял дейтаграммы самому себе, или нет, но данные оставались теми же. А еще начал бсод вылетать с кодом 0xA, жалуясь на 126 строку. В общем, код не стабилен, надо посмотреть на другие техники изменения. Нельзя ли о них вкраце, какую лучше использовать... Вроде видел что-то, связанное с ссылкой на NET_BUFFER_LIST, но пример там только той методики, которую я пытался реализовать.

Добавлено через 12 минут
А, забыл уточнить. Бсод появлялся в случае смещения данных (т.е. в 96 строке digitCount не равен нулю). Я немного изменил код, заменив ручную корректировку смещения и размера данных функцией NdisRetreatNetBufferDataStart и убрав корректировку MDL. Сам парсер на тестовом примере работает отлично, и изменяет нужные байты в полной версии отлично, судя по показаниям дебаггера.

Добавлено через 1 час 16 минут
Ой, не заметил, есть там примеры

Новые блоги и статьи Все статьи Все блоги /
Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .
Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	16.10.2015, 23:08
	А BSOD с каким кодом ? Упало в какой строке ? Где стек падения ? И т.д. Навскидку - почему нет проверки, что pLayerData != NULL ? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	16.10.2015, 23:58
	На будущее: эксперименты на живой машине и "разбор полетов" через .dmp-файлы - это далеко не лучшее, что можно придумать. Значительно удобнее отлаживать драйверы на виртуальной машине с подключенным отладчиком ядра, там и BSOD-а не будет, пока сам не пожелаешь, и можно крутить систему так и этак, пока не найдешь "виновника". А .dmp - это "привет из прошлого", очень часто по дампу ничего не понятно... 1

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	17.10.2015, 18:45
	Подключи PDB-файлы и будешь видеть названия функций, имена и значения, переменных, нормальный стек и т.п. По поводу отладчика я настоятельно рекомендую WinDBG и только его. Там огромное количество самых разных команд, а также возможность подключать расширения, например мои любимые pykd и cmkd с Python. Вот здесь написано, как подключить отладочные символы Microsoft: Use the Microsoft Symbol Server to obtain debug symbol files https://support.microsoft.com/en-us/kb/311503 Ну а дальше все по накатанной: ставишь VBox/VMware/Hyper-V, - кому что больше нравится, - переводишь ее в режим отладки и коннектишь WinDBG через виртуальный COM-порт (-> pipe). А если есть дополнительный монитор, то лучше вывести окно отладчика на него, тогда вообще шик !.. 1

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	17.10.2015, 22:15
	tnk500, а что тут удивляться-то, собственно говоря ? Почитай внимательно описание NdisGetDataBuffer, там есть ответы. И вообще, возьми за правило: если нет стопроцентной уверенности, что функция всегда будет возвращать ненулевое значение, то всегда должна стоять проверка на NULL. 1

@tnk500 117 / 121 / 42 Регистрация: 25.08.2012 Сообщений: 1,294
	17.10.2015, 22:22 [ТС]
	Получается, data может быть равно нулю... Значит, нужно "листать" список до тех пор, пока не найдется тот NET_BUFFER, от которого получим корректный указатель на данные... И лучше загонять data в качестве параметра (вроде)... Ладно, потестирую, хоть от синего экрана избавлюсь (если других ошибок нет). Правило полезное, частенько забываю о нем. Вот кстати к этой функции я описание не полностью читал, зато бы уверен, что получу отличный указатель на данные. 0

@tnk500 117 / 121 / 42 Регистрация: 25.08.2012 Сообщений: 1,294
	17.10.2015, 23:57 [ТС]
	Убежденный, так, стоп, тут я немного не понял. Непонятно предназначение третьего параметра. Если блок данных непрерывен, получаем указатель на него через возвращаемое значение. Иначе он вернет ноль, зато скопирует непрерывный блок в третий параметр, так? Хм, как же тогда понять, что ноль возвращен не потому что там некорректено число запрошенных байтов, а именно потому, что блок данных не является непрерывным. 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	18.10.2015, 00:32
	Смотри: тебе нужно прочесть данные, которые лежат в NET_BUFFER. Существуют два основных подхода, даже можно сказать идеологии. Первая (назовем ее callback-модель) подразумевает проход по всем разбросанным буферам, MDL и т.п. и на каждый кусок данных вызов определенной функции (callback). Эта модель сложна в реализации, но она самая эффективная, поскольку здесь нет ни выделений и освобождений памяти, ни копирования. Вторая модель, более простая (пускай будет object-модель), заключается в том, чтобы сначала склеить все куски данных в один промежуточный буфер, а затем уже работать с ним. Короче, прямо как SAX и DOM в обработке XML. NdisGetDataBuffer - это и есть предоставленная драйвером NDIS реализация второго метода. И ей нужно во время обработки данных откуда-то брать этот промежуточный буфер. Если данные непрерывны, то NdisGetDataBuffer просто возвращает указатель на них. Если данные разбиты по буферам, то NdisGetDataBuffer сначала склеивает их в буфере, который предоставил клиент, а затем возвращает указатель на них. Ну а если буфера нет (третий аргумент == NULL), то и склейки нет и функция вернет NULL. Это все есть в документации... 1

@tnk500 117 / 121 / 42 Регистрация: 25.08.2012 Сообщений: 1,294
	18.10.2015, 00:44 [ТС]
	Значит, я правильно понял, замечательно. Я, по правде, слишком задержался с драйвером, поэтому этой функцией ограничиться придется. Что ж поделать... Кстати, большущее спасибо. Я ожидал, что через пару вопросов меня кинешь, а нет, каждый вопрос разъясняешь, да еще как! Просто не знаю, что и сказать. 0

@tnk500 117 / 121 / 42 Регистрация: 25.08.2012 Сообщений: 1,294
	18.10.2015, 02:23 [ТС]
	Убежденный, аааа, так он в любом случае вернет корректный указатель, главное, чтобы буффер был достаточным? Так даже лучше, отлично. Добавлено через 1 час 15 минут И все же меня беспокоит одна деталь. Достаточно ли просто изъять данные, изменить их (как я делаю в программе), заинжектить их, чтобы изменённые данные увидел адресат? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	18.10.2015, 09:28
	Не могу точно ответить на этот вопрос, с техникой "clone-and-reinject" не работал. Но если ты все сделаешь согласно документации, не забудешь про всякие флаги и т.п., то не вижу причин, почему бы это не должно работать. 0

@tnk500 117 / 121 / 42 Регистрация: 25.08.2012 Сообщений: 1,294
	18.10.2015, 19:36 [ТС]
	Похоже, от этой техники придется отказаться. Я не знаю, не менялись ли данные только потому, что я отправлял дейтаграммы самому себе, или нет, но данные оставались теми же. А еще начал бсод вылетать с кодом 0xA, жалуясь на 126 строку. В общем, код не стабилен, надо посмотреть на другие техники изменения. Нельзя ли о них вкраце, какую лучше использовать... Вроде видел что-то, связанное с ссылкой на NET_BUFFER_LIST, но пример там только той методики, которую я пытался реализовать. Добавлено через 12 минут А, забыл уточнить. Бсод появлялся в случае смещения данных (т.е. в 96 строке digitCount не равен нулю). Я немного изменил код, заменив ручную корректировку смещения и размера данных функцией NdisRetreatNetBufferDataStart и убрав корректировку MDL. Сам парсер на тестовом примере работает отлично, и изменяет нужные байты в полной версии отлично, судя по показаниям дебаггера. Добавлено через 1 час 16 минут Ой, не заметил, есть там примеры 0