Какой всё-таки функцией можно определить ImageBase другого загруженного драйвера?

Кривовато, но вариант: если драйвер создает Device, то можно сделать IoGetDeviceObjectPointer, потом берем любую валидную функцию из DeviceObject->DriverObject->MajorFunction[ ] и бежим вверх в поисках MZ/PE заголовка...

Возможные баги:
- если кто-то приаттачился на исходный девайс, то IoGetDeviceObjectPointer вернет DeviceObject того самого устройства, поэтому лучше разобрать сию функцию и проделать все тоже самое только без вызова последнего IoGetAttachedDevice.
- если кто-то нагло похукал все MajorFuncton то найдем мы ImageBase не того драйвера :)

Если тебе известно имя драйвера, то найти ImageBase можно
так:

ZwQuerySystemInformation( SystemModuleInformation, ...

Вообще мне надо сделать так - по адресу найти драйвер, которому этот адрес принадлежит, ну и соответственно смещение от ImageBase. Так вот, хотелось бы знать как это оптимальнее всего сделать.

dragon Если будеш на 0 ring, то возми свой
адрес, выравняй его на границу страницы, и уменьшая
адрес на страницу ищи по смещению 0 "MZ", ну естественно
для полной уверености проверь и др. атрибуты формата PE.