[求助] WIN内核中如何获取被WMI代理的进程ID

比如在派遣中，
PsGetCurrentProcessId，PsGetCurrentThread，PsGetProcessId，IoThreadToProcess，均得到 WmiPrvSE.exe 进程，但实际是由应用程序调用WMI来发起的IRP，该如何才能正确的获取到这个应用程序的ID呢？ 有大佬有过类似的经历吗？ 是怎么处理的呢？能否分享下你的经验


[培训]《冰与火的战歌：Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-291109.htm

WMI 通常会在调用 DeviceIoControl 前模拟客户端。在驱动中获取当前线程的模拟令牌，提取其中的登录会话 LUID，再枚举系统进程，比较各进程主令牌的 LUID，即可匹配到相同登录会话的进程。但并非所有场景都有模拟