今天才知道居然还有个PsGetProcessImageFileName函数 以前都是读取EPROCESS的偏移0x174 转载于:https://www.cnblogs.com/fanzi2009/archive/2010/07/27/1786099.html