比如在派遣中,PsGetCurrentProcessId,PsGetCurrentThread,PsGetProcessId,IoThreadToProcess,均得到 WmiPrvSE.exe 进程,但实际是由应用程序调用WMI来发起的IRP,该如何才能正确的获取到这个应用程序的ID呢? 有大佬有过类似的经历吗? 是怎么处理的呢?能否分享下你的经验
[内核课程]《Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。
