Хотелось бы знать указатель на какую структуру возвращает функция PsGetProcessWin32Process. Если посмотреть код - в регистр eax заносится поле: EPROCESS: /*0x130*/ VOID* Win32Process Код (Text): mov eax, [ebp+arg_0] mov eax, [eax+130h] затем в вызывающей функции: Код (Text): mov esi, eax ; Win32Process push dword ptr [esi] call ds:__imp__PsReferencePrimaryToken@4 Входной параметр PsReferencePrimaryToken это указатель на EPROCESS.
