Мне интересно, как лучше всего преобразовать указатель объекта процесса в указатель объекта файла. В настоящее время я использую этот метод:
- передать PEPROCESS в ObOpenObjectByPointer, чтобы получить дескриптор процесса
- вызовите ZwQueryInformationProcess, чтобы получить ProcessImageFileName
- вызовите ZwCreateFile с ProcessImageFileName, чтобы получить дескриптор файла
- наконец передать дескриптор файла в ObReferenceObjectByHandle, чтобы получить PFILE_OBJECT
Есть предложения?