文件过滤驱动内核中如何访问某个进程(.exe)的执行代码

如题。首先可以在驱动获得进程的EThread 因此可以获得　PID, EPROCESS等相关结构，但如何定为到这个进程(.exe)的第一条指令代码呢？我想可以通过查看ＰＥ文件结构可以定为到这个.exe的entrypoint ，从而获得指令的开始，貌似比较麻烦，想请教大虾这个思路对不对？或则可以通过EPROCESS直接定为到相关进程的执行代码么？

to znsoft, wowocock,dreamsity:
谢谢你们的回复。貌似也只能这么做了。我是要做个特殊进程过滤的功能，想根据进程特征而不只是文件名来过滤进程，所以想到用文件可执行部分的二进制代码作为特征来验证。

引用第6楼eleqi于2008-09-26 10:09发表的  :
感谢，我也有同问，不过好像对于加了壳的进程文件那就没多大希望了

我觉得这个功能就是来加固正常进程的吧，以使正常进程能访问加密文件。而那些加壳的伪装进程（即便加壳）肯定也会因为２进制代码不同而通不过验证啊，不知道你是啥意思