直接卸载要杀进程的ntdll.dll就可以直接杀死该进程
卸载可以用sdt表中的那个NtUnLoadMap**函数,或者可以使用
MmUnmapViewOfSection(未导出,自己搜索到)来结束
绿色无污染撒,用
MmUnmapViewOfSection这个比较好,除非被inline hook了,不然都有效(前提是获取EPROCESS,相信这个很简单吧)
直接卸载要杀进程的ntdll.dll就可以直接杀死该进程
卸载可以用sdt表中的那个NtUnLoadMap**函数,或者可以使用
MmUnmapViewOfSection(未导出,自己搜索到)来结束
绿色无污染撒,用
MmUnmapViewOfSection这个比较好,除非被inline hook了,不然都有效(前提是获取EPROCESS,相信这个很简单吧)