[求助] WIN内核中如何获取被WMI代理的进程ID-求助问答-看雪安全社区

未解决 [求助] WIN内核中如何获取被WMI代理的进程ID 100雪币

发表于: 2026-5-5 20:41 1824

未解决 [求助] WIN内核中如何获取被WMI代理的进程ID 100雪币

hmuyin

2026-5-5 20:41

1824

比如在派遣中，
PsGetCurrentProcessId，PsGetCurrentThread，PsGetProcessId，IoThreadToProcess，均得到 WmiPrvSE.exe 进程，但实际是由应用程序调用WMI来发起的IRP，该如何才能正确的获取到这个应用程序的ID呢？有大佬有过类似的经历吗？是怎么处理的呢？能否分享下你的经验

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・0

打赏

最新回复 (1)
TurkeybraNC 雪币： 2877 活跃值： (2564) 能力值： ( LV6，RANK：80 ) 在线值：发帖 13 回帖 28 粉丝 38 关注私信	TurkeybraNC 2 楼 WMI 通常会在调用 DeviceIoControl 前模拟客户端。在驱动中获取当前线程的模拟令牌，提取其中的登录会话 LUID，再枚举系统进程，比较各进程主令牌的 LUID，即可匹配到相同登录会话的进程。但并非所有场景都有模拟 2026-5-28 22:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hmuyin

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区