没人顶，，自己给自己顶一下

一、EPROCESS中：
    1、EPROCESS-->ImageFileName（冰刃获取进程名的地方,只有16个字节，难怪冰刃的进程总少末尾的字节）
    2、EPROCESS-->SeAuditProcessCreationInfo->ImageFileName（任务管理器获取进程名的地方，NtQueryInformationProcess就是从这里获取进程名的）
    3、EPROCESS->SectionObject->Segment->ControlArea->FileObject->FileName（RKU获取进程名的方法）
    4、VAD（记录用户空间内存分配情况的数据结构，里面当然有进程的exe模块）

二、PEB中：
    1、PEB-->ProcessParameters-->ImagePathName
    2、PEB-->ProcessParameters-->CommandLine
    3、PEB-->ProcessParameters-->WindowTitle（这个地方比较奇怪，如果双击的是exe的快捷方式，则记录的是快捷方式的路径，还是一并改掉的好）
    4、PEB-->LDR-->InLoadOrderModuleList->第一个结构->FullDllName
    5、PEB-->LDR-->InLoadOrderModuleList->第一个结构->BaseDllName
    6、PEB-->LDR-->InMemoryOrderModuleList->第一个结构->FullDllName（此处的BaseDllName貌似为NULL，就不管它了）

看看回复

Win7为0x16c

谢谢楼上列出这么多方法