是同一个东西吧，都在说ntoskrnl.exe导出的NtQueryInformationToken和ZwQueryInformationToken呀。
我只是用ntdll.dll导出函数类比一下。2000下的ZwQueryInformationToken只是预处理一些东西，再转入NtQueryInformationToken。

ntdll.dll导出的ZwQueryInformationToken和NtQueryInformationToken是同一个函数。
而ntoskrnl.exe导出的ZwQueryInformationToken与NtQueryInformationToken则不同。

EPROCESS/ETHREAD的结构在DDK中没有找到，那位兄弟能告诉吗？

search以前的贴子

pjf兄：
     在这个问题上，如果我要获得线程的句柄，怎么办呢？

NTSYSAPI
NTSTATUS
NTAPI
ZwOpenThreadToken (
    IN HANDLE       ThreadHandle,
    IN ACCESS_MASK  DesiredAccess,
    IN BOOLEAN      OpenAsSelf,
    OUT PHANDLE     TokenHandle
);

方法是一样的呀：
status = ObOpenObjectByPointer(PsGetCurrentThread(),
0,
NULL,
THREAD_ALL_ACCESS,
NULL,
KernelMode,
&hThread);//这就是HANDLE
如果不是当前线程，用该线程的PETRHAD取代PsGetCurrentThread。
或自己找到ID后ZwOpenThread
前者好多了。

不过有的线程没有Token对象，ZwOpenThreadToken返回总是失败。

如何把向PSID这样变长的东东传给上层的应用呢？

pjf及各位仁兄，小弟碰到大难题了，我在内核得到SID，本想是获得访问当前文件的用户名。如果是本地用户，则解析出本地用户名，如果是LAN内的其他主机，则需要解析出主机名。现在发现根据SID不能解析出LAN内的主机名，只能得到它以什么身份登录本机。这一点我当初欠缺考虑。现在我需要确定远端主机的真实身份，该如何才行？急啊！

sorry，没做过这么样的东西，它至少与winlogon/LSA/LPM等紧密集成起来。需要好好crack一下，可是一个月内是完全没时间的（重要的事）。现在我只能讨论一些不用费劲的东西，因为不能花时间。大概7月中旬可以腾出时间来研究研究。
看看有没有兄弟有这方面的经验。

如何把向PSID这样变长的东东传给上层的应用呢？
-----------------------------------------------------------------------------
你是想在应用层来处理SID吧？SID虽然变长但仍有限，就是传一块buffer给应用，没什么可说的吧。

不管怎么样我还得感谢你，不知道在文件过滤这一层能否实现这样的目标，这个想法是否可行？

不知道在文件过滤这一层能否实现这样的目标，这个想法是否可行
--------------------------------------------------------------------------------
困难颇大。文件过滤驱动毕竟不仅仅可以过滤，只是要十分清楚远程登录的具体流程。需要花太多时间，现在承受不起。

不知道在文件过滤这一层能否实现这样的目标，这个想法是否可行
--------------------------------------------------------------------------------
困难颇大。文件过滤驱动毕竟不仅仅可以过滤，只是要十分清楚远程登录的具体流程。需要花太多时间，现在承受不起。

你觉得突破口应该在哪里？

我现在不甚清楚，还是不胡说了，免得你瞎忙活。
希望有兄弟有些经验。  :(

瞎掺和一句:

filemon中有一 段代码是在内核中得到进程参数的

瞎掺和一句:

filemon中有一 段代码是在内核中得到进程参数的

Filemon从KPEB中查找进程名的。

为什么获取用户名的代码我编译不过呢？那些Undocument的函数怎么都Link不到啊？