比如在派遣中,PsGetCurrentProcessId,PsGetCurrentThread,PsGetProcessId,IoThreadToProcess,均得到 WmiPrvSE.exe 进程,但实际是由应用程序调用WMI来发起的IRP,该如何才能正确的获取到这个应用程序的ID呢? 有大佬有过类似的经历吗? 是怎么处理的呢?能否分享下你的经验
[招生]科锐逆向工程师培训(2026年7月3日实地,远程教学同时开班, 第56期)!
