有点神奇的效果

如果Process->SeAuditProcessCreationInfo.ImageFileName有值，NULL掉，并ExFreePool了。

然后再遍历进程（简单zwqueryxxx即可），有神奇效果

 

PS：进程名先查找Process->SeAuditProcessCreationInfo.ImageFileName，如果为空则obquery获取，并赋值到Process->SeAuditProcessCreationInfo.ImageFileName中，上面获取方法都没成功才会直接取Process->ImageFileName

 

另外，asm说直接用zwqueryvirtualmemory也可以。