【求助】请教如何获得硬盘读写路径

附件 78682
我研究并发现第1、2行貌似可以通过遍历设备栈来读取，也不知道这个思路对不对:
附件 78683
但是第3行IRP_MJ_INTERNAL_DEVICE_CONTROL->843c744e是什么意思，网上有说到这是用户态应用程序和驱动之间的沟通或者设备栈内驱动之间的沟通，该如何得到呢？
第2个问题是为什么第1个图中会有两条读写路径，有两种方法获得硬盘读写路径吗？然后如何判断设备被劫持，是从这两条读写路径的差异中比较得出的结果吗？
第3个问题是我在win7下好像找不到deviceobject的名字啊，用ObQueryNameString读出来的都是null呀。。

上传的图像

	1.jpg (43.7 KB)
	2.jpg (11.2 KB)