摘要： 1. 通过 pid 获取目标进程的 EPROCESS (PsLookupProcessByProcessId)。如果当前进程不是目标进程，那么我们切换当前进程，方法当然是通过 KeAttachProcess 或者 KeStackAttachProcess 啦。接下来我们就可以从 _PEB结构中随心所欲的获取目标路径，命令行，啥滴东西了。最后别忘了 Detach(如果你没有 Attach 那么这一步不需要)。2. 通过 pid 获取目标 EPROCESS。然后那，我们用 ObOpenObjectByPointer 函数，记得把 ObjectType置为 *PsProcessType (置空也行啦 阅读全文