將ProcessID轉換爲進程句柄

Question

我正在嘗試編寫用於監視進程的基本驅動程序並獲取進程路徑。
我創建PsSetCreateProcessNotifyRoutine和檢索使用ZwQueryInformationProcess
但在我ProcessCallback功能，當我嘗試使用NtCurrentProcess獲得當前進程HANDLE進程信息，它給我當前進程運行另一個進程。

例如：

我嘗試在C運行myProgram.exe：\，當我去到C：\ Windows資源管理器和運行 myProgram.exe我 司機給我explorer.exe的路徑因爲myProgram.exe內 的explorer.exe

運行我有在的ProcessID我ProcessCallback頭

void ProcessCallback(
    IN HANDLE hParentId, 
    IN HANDLE hProcessId, 
    IN BOOLEAN bCreate 
    ) 

。我可以將它轉換爲處理句柄嗎？

Answer 1

感謝在座的各位有幫助的評論 最後我解決我的問題，下面的代碼

HANDLE proc = NULL; 
OBJECT_ATTRIBUTES obj_attr; 
CLIENT_ID cid; 

cid.UniqueProcess= hProcessId; //PsGetCurrentProcessId(); 
cid.UniqueThread= NULL ; //(HANDLE)0; 
InitializeObjectAttributes(&obj_attr,NULL, 0, NULL, NULL); 
ZwOpenProcess(&proc, PROCESS_ALL_ACCESS, &obj_attr, &cid);