文件过滤系统疑问-怎样获取产生IRP_MJ_WRITE的应用程序名！

  在文件过滤驱动中，我监控IRP_MJ_WRITE，这时候我想知道是哪个应用程序产生的这个中断，
我用psgetcurrentprocess,为什么，真正写数据的时候我得不到应用程序名啊，例如：有个程序
叫test.exe,它从d盘拷贝数据到e盘，我监控e盘的IRP_MJ_WRITE，我怎么能够准确的知道，哪个
IRP_MJ_WRITE是test.exe,产生的呢，？希望大侠指导！

谢谢，斑竹老大，我有个疑问，我在IRP_MJ_WRITE进行监控（磁盘级的），发现几乎都是systme进程，将cache中的内容写入硬盘，我能有什么方法将其关联起来呢，systme干完活以后是否应该也会向应用程序汇报一下，如果这样，systme的pcb里面是否应该含有应用程序的信息呢，如果有怎么获取呢，能否知道一下。谢谢！

需要从thread到进程~自己研究一下怎么从irp提前thread吧~