WDK：通过name.exe获取processId

Question

我正在Windows过滤平台中开发驱动程序，我需要另一个进程的进程ID来完成我需要做的事情。我只知道该进程的文件名（name.exe）。

在win32中，我可以使用函数CreateToolhelp32Snapshot来获取所有进程的列表，我可以在那里搜索PID。 （http://msdn.microsoft.com/en-us/library/ms684834(VS.85).aspx）

不幸的是在内核模式下这个东西不可用。任何人都知道如何通过内核空间获得只知道二进制名称的processID？

Answer 1

根据时间的不同，您可以拨打PsSetCreateProcessNotifyRoutineEx()与您自己的处理程序CreateProcessNotifyEx()。然后您的CreateProcessNotifyEx()将收到一个指向PS_CREATE_NOTIFY_INFO的指针。在这个结构中是字段ImageFileName以及位FileOpenNameAvailable。

程序名称将在ImageFileName指向的Unicode字符串中。如果FileOpenNameAvailable，那么该字符串将包含二进制文件的完全限定路径。否则，期望仅查找模块名称，可能没有扩展名。