Bueno este método aun no lo domino pero seguro a alguien le servirá.
Windows nos da la posibilidad de comunicarnos a un Driver desde una aplicación o servicio por medio de IRQ, pero que sucede cuando queremos que un driver nos comunique algo, ese es el caso de los drivers de antivirus cuando detectan alguna ejecución de malware.

Este método lo pueden ver [Enlace externo eliminado para invitados]

Yo les explico a grandes rasgos.
Se divide en tres partes
[*]Driver. Que corre en modo kernel, revisando todos los handles (OpenProcess, OpenFile, etc...)
[*]Servicio. Corre en modo usuario pero con privilegios de admin.
[*]Aplicacion. Corre en modo usuario no necesita ser ejecutado como admin.

De hecho no es muy diferente entre la comunicacion normal, donde una aplicación en MU(Modo Usuario) usa el E/S para comunicarse con una en MK(Modo Kernel), lo que sucede es que el servicio satura con peticiones el driver que quedan a la espera de ser contestadas, para cuando el driver lo crea pertinente las responda con lo que necesita enviarle, el servicio detecta que se ha contestado el IRQ y se lo comunica a la aplicación, para pedir una confirmación o simplemente informarlo.

Para ello OSR implemento una serie de funciones para manejar la lista de peticiones y evitar un BSOD, pueden ver en el codigo como se pueden cancelar peticiones y el driver las elimina de la lista, toma prioridad en caso de que reciba un IRQ que necesite respuesta, el MU esta en C++, el servicio y la aplicación la pueden compilar con Dev-C++, VC++ o cualquier compilador normal; el driver tiene que ser compilado con la DDK de Windows, o con el compilador de OSR.

Saludos!

jaja mucho material y yo apenas leyendo "The Rootkit Arsenal Escape and Evasion in the Dark Corners of the System" muy recomendado porcierto xDD

See mucha info pero la mayoría hay que saber como buscarla .
No he leído ese libro, cuando termine este ciclo escolar lo leere, aunque no estaría de mas que lo publicaras

Saludos!