Kernel p处理PFILE_对象_Kernel - Fatal编程技术网

Kernel p处理PFILE_对象

kernel

Kernel p处理PFILE_对象,kernel,Kernel,我想知道将进程对象指针转换为文件对象指针的最佳方法是什么。我目前正在使用此方法：将PEPROCESS传递给ObOpenObjectByPointer以获取进程的句柄调用ZwQueryInformationProcess以获取ProcessImageFileName 使用ProcessImageFileName调用ZwCreateFile以获取文件句柄最后，将文件句柄传递给ObjReferenceObjectByHandle以获取PFILE_对象有什么建议吗？我会这么做。不知道任何快捷方式

我想知道将进程对象指针转换为文件对象指针的最佳方法是什么。我目前正在使用此方法：

将PEPROCESS传递给ObOpenObjectByPointer以获取进程的句柄

调用ZwQueryInformationProcess以获取ProcessImageFileName

使用ProcessImageFileName调用ZwCreateFile以获取文件句柄

最后，将文件句柄传递给ObjReferenceObjectByHandle以获取PFILE_对象

有什么建议吗？

我会这么做。不知道任何快捷方式（例如获取打开的主可执行图像文件）。这就是我要做的。不知道任何快捷方式（例如获取打开的主可执行图像文件）。