Windbg 跟踪了下
Tracing kernel32!GetProcessId to return address 00412299
10 0 [ 0] kernel32!GetProcessId
3 0 [ 1] ntdll!ZwQueryInformationProcess
2 0 [ 2] ntdll!KiFastSystemCall
1 0 [ 2] ntdll!ZwQueryInformationProcess
15 6 [ 0] kernel32!GetProcessId
可以发现是 ZwQueryInformationProcess 来实现的。。。。