通过Hook ZwCreateProcess获取进程全路径（缓存问题解决方案）

环境：WinXP

我们在拦截进程启动时，会去拦截ZwCreateProcess函数，然后在中间获取启动进程的了全路径，判断进程是否合法。

首先看下ZwCreateProcess函数的原型如下：

其中我们主要是利用SectionHandle参数，通过ObReferenceObjectByHandle获取文件对象，然后再利用ObQueryNameString函数进行刷新文件名缓存（如果exe文件改过名后，不调用ObQueryNameString会发生获取到的是第一次运行进行的名字）。

具体解决方案可参考如下：

1.截获ZwCreateProcess例子

http://blog.csdn.net/trents/article/details/7255522

关于此例子中说datasection可以解决缓存问题，但是我发现在我环境中是解决不了的，才有了下面调用ObQueryNameString的补充方案，

2.调用ObQueryNameString例子

http://bbs.pediy.com/showthread.php?t=129136&highlight=ObQueryNameString

注意此例子调用时第一次会失败，因为内存分配太小，需要重新分配。

需要在 RtlAppendUnicodeStringToString(&fullUniName,&((PFILE_OBJECT)pFile)->FileName);  前调用ObQueryNameString