我想弄清楚哪个进程产生了一个给定的IRP。
Obj->MajorFunction[IRP_MJ_DIRECTORY_CONTROL] = dirCtl; NTSTATUS dirCtl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
鉴于DeviceObject / Irp我怎样才能找出哪个用户登陆进程试图查询目录? (例如explorer.exe)
由于内核实际上驻留在进程的内存空间中,所以大部分时间PsGetCurrentProcessId()
都会这样做。