САБЖ Нужно узнать полный путь к процессу Путь я вытащил из EPROCESS но там без метки диска путь вида \dir1\dir2\...\file1.exe вопрос: откуда вытащить букву диска?
Unmanaged ZwQueryInformationProcess (ProcessImageFileName) не работает например под Вин2К. А вообще да, поиск по форуму zoool тебе.
Все Нашел решение кстати поиск не помог. Вытащил диск из DeviceObject. А далее привел к читабельному виду через RtlVolumeDeviceToDosName RSDN рулит!
RtlVolumeDeviceToDosName нет опять таки под Вин2К ну раз ты Вытащил диск из DeviceObject згначит ты добрался до FILE_OBJECT и если бы нормально искал то нашел бы примеры с ZwQueryObject, ObQueryNameString etc и некоторые приколы с ними )
