我想在minifilter文件系统驱动程序中提取进程映像名称。 我正在做这样的事情,但我得到了一个BSOD。缓冲区分配可能有误?
status = ZwQueryInformationProcess( NtCurrentProcess(),
ProcessImageFileName,
buffer,
returnedLength,
&returnedLength );
答案 0 :(得分:1)
不建议使用ZwQueryInformationProcess来获取流程信息。
最好的方法是使用PsSetCreateProcessNotifyRoutine和PsSetLoadImageNotifyRoutine并准备好您自己的流程列表。