关于NT内核模式中的进程问题，一直都没人解决，不知大牛们对此有何看法??

jw1975

关于NT内核模式中的进程问题，一直都没人解决，不知大牛们对此有何看法?? [复制链接]

根据IRP既然可以得到宿主进程的信息，如名字和路径，那么能否得到宿主进程的ID呢？
是有代码可以得到IRP的进程ID的，得到的是PEPROCESS ProcessID，那么这个进程ID和用户模式的任务管理器中看到的进程ID有什么关系？？它们是同一个东西吗???内核模式中由一个进程ID如何得到其父进程的ID？？
我看到微软的例子中都是用下面的结构定义进程ID：
typedef struct _EPROCESS *PEPROCESS;
为什么进程ID是一个结构的地址？？这个结构的具体细节如何知道？？

紫皮书

HANDLE hProcessId =PsGetCurrentProcessId();

hangziming

这是个未文档化的结构体代表一个进程，和进程ID没有关系，不过这个结构体已经被讨论很多了，LZ可以去网上搜些文章看看

shen2089

up