文件-进程关联演示程序 pjf(jfpan20000@sina.com) 1、首先使用ZwQuerySystemInformation查询所有进程句柄， 2、获取句柄所代表对象信息，查出目标文件。核心态程序相对简单，对于 用户态程序，使用ZwQueryInformationFile同时与GetFileInformationByHandle、 GetVolumeInformation二API搭配获得之（前者得文件除去卷的路径名，后二者 得卷名） 另外可用ZwQueryOb

利用ZwQuerySystemInformation获取系统进程信息-use ZwQuerySystemInformation systematic process of information access

很多人都知道端口到进程映射的一个免费工具FoundStone的Fport，可惜他不提供源码，我试着能从其二进制文件中找出一些信息，大致知道他使用了些未公开函数，诸如： ZwOpenSection，ZwQuerySystemInformation-Many people are aware of the process to port a free map of Fport FoundStone tool, but he does not provide source code, I tried

用系统顶层 API 函数如 ZwOpenProcess，ZwQuerySystemInformation 等关闭进程-Close process system top-level API functions such as ZwOpenProcess, ZwQuerySystemInformation, etc.