编译并运行如上这段代码片段，将把进程PID转为HANDLE句柄，再通过句柄将其转为PID，输出效果图如下所示；

进程PID转换为EProcess结构: 通过PsLookUpProcessByProcessId函数，该函数传入一个PID则可获取到该PID的EProcess结构体，具体转换实现方法如下所示；

本段代码展示了如何使用Windows内核API函数PsLookupProcessByProcessId将一个PID（Process ID）转换为对应的EProcess结构体，EProcess是Windows内核中描述进程的数据结构之一。

代码段中定义了一个名为PidToObject的函数，该函数的输入参数是一个PID，输出参数是对应的EProcess结构体。

在函数中，通过调用PsLookupProcessByProcessId函数来获取对应PID的EProcess结构体，如果获取成功，则调用ObDereferenceObject函数来减少EProcess对象的引用计数，并返回获取到的EProcess指针；否则返回0。

在DriverEntry函数中，调用了PidToObject函数将PID 6932转换为对应的EProcess结构体，并使用DbgPrint函数输出了转换结果。最后设置了驱动程序卸载函数为UnDriver，当驱动程序被卸载时，UnDriver函数会被调用。

#include <ntifs.h>
#include <windef.h>

// 将Pid转换为Object or EProcess
PEPROCESS PidToObject(ULONG Pid)
{
	PEPROCESS pEprocess;

	NTSTATUS status = PsLookupProcessByProcessId((HANDLE)Pid, &pEprocess);

	if (status == STATUS_SUCCESS)
	{
		ObDereferenceObject(pEprocess);
		return pEprocess;
	}

	return 0;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("[-] 驱动卸载 \n");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("Hello LyShark \n");

	// 将PID转换为PEPROCESS
	PEPROCESS ptr = PidToObject(6932);
	DbgPrint("[*] PID  --> PEPROCESS = %p \n", ptr);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

编译并运行如上这段代码片段，将把进程PID转为EProcess结构，输出效果图如下所示；

进程HANDLE与EPROCESS互相转换: 将Handle转换为EProcess结构可使用内核函数ObReferenceObjectByHandle实现，反过来EProcess转换为Handle句柄可使用ObOpenObjectByPointer内核函数实现，具体转换实现方法如下所示；

首先，将Handle转换为EProcess结构体，可以使用ObReferenceObjectByHandle内核函数。该函数接受一个Handle参数，以及对应的对象类型（这里为EProcess），并返回对应对象的指针。此函数会对返回的对象增加引用计数，因此在使用完毕后，需要使用ObDereferenceObject将引用计数减少。

其次，将EProcess结构体转换为Handle句柄，可以使用ObOpenObjectByPointer内核函数。该函数接受一个指向对象的指针（这里为EProcess结构体的指针），以及所需的访问权限和对象类型，并返回对应的Handle句柄。此函数会将返回的句柄添加到当前进程的句柄表中，因此在使用完毕后，需要使用CloseHandle函数将句柄关闭，以避免资源泄漏。

综上所述，我们可以通过这两个内核函数实现Handle和EProcess之间的相互转换，转换代码如下所示；