ObOpenObjectByName或 PsLookupProcess*** + ObOpenObjectByPointer来打开进程（创建并返回进程句柄）。


ZwQueryVirtualMemory    来枚举进程模块


ObReferenceObjectByHandle获取进程执行体块


RtlImageNtHeader      防止别人打开指定的PE模块




使用ZwQuerySystemInformation的SystemHandleInformation号调用得到系统中的所有句柄


通过ZwQueryInformationProcess来查询句柄对应的进程Id


PsGetNextProcessThread (8057b3b9)          遍历线程中的进程


PsLookupProcessByProcessId (80573e8d) 根据输入的 PID 查询进程内核对象体的指针


PspTerminateThreadByPointer来结束它们


KeInitializeApc    /  KeInsertQueueApc插入了一个核心态的APC调用


PspExitThread（...=>KeTerminateThread=> KiSwapThread）悲壮的自行了断


PsSetCreateProcessNotifyRoutine  进程监控


PsSetCreateThreadNotifyRoutine    线程监控


PspTerminateProcess  、PsTerminateSystemThread


用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0

为了 稳定性 ，瑞星可以少量 挂钩 inline 也！！！

KeInitializeApc    /  KeInsertQueueApc插入了一个核心态的APC调用

PspExitThread（...=>KeTerminateThread=> KiSwapThread）悲壮的自行了断

PsSetCreateThreadNotifyRoutine    线程监控


这几个 你需要挂 啊！！！

建议已经收集反馈。感谢您的支持与关注！