终止进程的多种方法(3)

      5.通过csrss的handletable用2种方法枚举获得进程表e和f
      6.通过扫描当前进程的handletable获得进程表g
      7.遍历表c的每一个进程的SessionProcessLinks获得进程表h
      8.遍历表c的每一个进程Vm.WorkingSetExpansionLinks获得进程表i
      9.通过Typelist分别取process和thread的表j和表k
      10.通过表k得到进程表l
      11.搜索内存中的threadobject和processobject得到进程表m
      12.通过Wait/Dispatch得到进程表n
      13.如果系统是Win2003以上遍历表c的每一个进程的MmProcessLinks得到表o
      14.综合上面的进程表得到表p
      15.对表p每一个进程做HandleTable，Vm.WorkXX,MmProcessXX,SessionProcessList扫描得到表q
      16.枚举HWNDHandle得到进程表r
      17.枚举JobObject得到表s
      18.综合得表t,此时枚举结束~~

动态部分：
KiReadyThread
和KiSwapContext的钩子
还有KiService钩子
还有CreateProcessNotifyRoutine和CreateThreadNotifyRoutine
NtCreateThread钩子
动态维护一张表，静态枚举结束后综合两表~

三 进程隐藏

         转自http://hi.baidu.com/sudami/blog/item/96f1f245db0e2c25cffca385.html

         1 HOOK SSDT---> ZwQuerySystemInformation

  &nb