我打算挂接到一个ntdll函数ZwTerminateProcess,但遇到了问题x64,因为如果一个x86应用程序在 Windows 中运行x64,它会加载two ntdlls:一个来自System32路径,另一个来自SysWOW64.
直到这里我没有任何问题,除了:ntdll(system32)当我列出dllsusing 时第一个没有出现,CreateToolhelp32Snapshot()或者EnumProcessModules()当我使用GetModuleHandle()return时hModule,第二个没有出现ntdll(SysWOW64)。
我在想也许第一个dll加载了,LOAD_LIBRARY_AS_DATAFILE flag但如果是这种情况,应用程序将无法使用first ntdll(System32). 我试图ZwTerminateProcess()在第二个中钩住它,ntdll但它不起作用。有人知道如何帮助我吗?
如果需要更多说明,请告诉我。
谢谢你,道格拉斯。