X>Всем привет.
X>Стоит антивирус Касперского.

X>При получении таблицы из GetExtendedTcpTable, GetTcpTable, GetTcpTable2, у всех процессов которые подключились внешне, антивирус заменяет PID на свой.
X>Вот нужно узнать 'настоящий PID' процесса, то есть до того, как Касперский заменил его на свой.

Он не меняет. У него есть драйвер который перенаправляет соединения на локальный прокси, коим сам процесс avp.exe и является. Прокси естественно переустанавливает соединениея от своего имени. Так что вы видите актуальную информацию. Если внимательно поищите в таблице, найдете скорей всего соответствующие соединения на локолхост — результат работы перенаправляющего драйвера. Установить соответствие между парами соединений ( на локал хост и от прокси ) без каких нибудь мегахаков — нереально. Единственный вариант — иметь собственный TDI фильтр и расположить его выше касперского. И не парится вызовами GetTcpTable.