已审核词条 未审核词条

子程序名	返回值类型	公开	备 注
进程_强力结束进程	逻辑型
参数名	类 型	参考	可空	数组	备 注
hProcess	整数型
ExitStatus	整数型				填0

变量名	类 型	静态	数组	备 注
st	整数型
hJob	整数型
oa	OBJECT_ATTRIBUTES
ret	逻辑型

ret ＝ 假
oa.Length ＝ 24
st ＝ ZwCreateJobObject (hJob, #JOB_OBJECT_ALL_ACCESS, oa)
如果真 (st ≥ 0)
st ＝ ZwAssignProcessToJobObject (hJob, hProcess)
如果真 (st ≥ 0)
st ＝ ZwTerminateJobObject (hJob, ExitStatus)
如果真 (st ≥ 0)
ret ＝ 真

ZwClose (hJob)
如果真 (ret ＝ 假)
st ＝ ZwTerminateProcess (hProcess, ExitStatus)
如果真 (st ≥ 0)
ret ＝ 真

返回 (ret)

DLL命令名	返回值类型	公开	备 注
ZwQuerySystemInformation	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwQuerySystemInformation
参数名	类 型	传址	数组	备 注
SystemInformationClass	整数型			未知类型：SYSTEM_INFORMATION_CLASS。
SystemInformation	字节集			any
SystemInformationLength	整数型
ReturnLength	整数型

DLL命令名	返回值类型	公开	备 注
取指针_字节集	整数型		常规API
DLL库文件名:
在DLL库中对应命令名:
lstrcpyn
参数名	类 型	传址	数组	备 注
欲取其指针	字节集
欲取其指针	字节集
保留	整数型			0

DLL命令名	返回值类型	公开	备 注
RtlMoveMemory3	整数型		常规API,从地址读一个整数
DLL库文件名:
在DLL库中对应命令名:
RtlMoveMemory
参数名	类 型	传址	数组	备 注
dest	整数型
Source	整数型
len				4

DLL命令名	返回值类型	公开	备 注
ZwOpenProcess	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwOpenProcess
参数名	类 型	传址	数组	备 注
hProcess	整数型
DesiredAccess	整数型
ObjectAttributes	OBJECT_ATTRIBUTES
ClientId	CLIENT_ID

DLL命令名	返回值类型	公开	备 注
RtlMoveMemory1	整数型		常规API
DLL库文件名:
在DLL库中对应命令名:
RtlMoveMemory
参数名	类 型	传址	数组	备 注
dest	SYSTEM_HANDLE_TABLE_ENTRY_INFO
Source	整数型
len				284

DLL命令名	返回值类型	公开	备 注
ZwQueryInformationProcess	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwQueryInformationProcess
参数名	类 型	传址	数组	备 注
SystemInformationClass	整数型			未知类型：SYSTEM_INFORMATION_CLASS。
dd	整数型
SystemInformation	PROCESS_BASIC_INFORMATION			any
SystemInformationLength	整数型
ReturnLength	整数型

DLL命令名	返回值类型	公开	备 注
ZwDuplicateObject	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwDuplicateObject
参数名	类 型	传址	数组	备 注
SourceProcessHandle	整数型
SourceHandle	整数型
TargetProcessHandle	整数型
TargetHandle	整数型
DesiredAccess	整数型
HandleAttributes	整数型
Options	整数型

DLL命令名	返回值类型	公开	备 注
ZwCreateJobObject	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwCreateJobObject
参数名	类 型	传址	数组	备 注
JobHandle	整数型
DesiredAccess	整数型
ObjectAttributes	OBJECT_ATTRIBUTES

DLL命令名	返回值类型	公开	备 注
ZwAssignProcessToJobObject	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwAssignProcessToJobObject
参数名	类 型	传址	数组	备 注
JobHandle	整数型
ProcessHandle	整数型

DLL命令名	返回值类型	公开	备 注
ZwTerminateJobObject	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwTerminateJobObject
参数名	类 型	传址	数组	备 注
JobHandle	整数型
ExitStatus	整数型

DLL命令名	返回值类型	公开	备 注
ZwTerminateProcess	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwTerminateProcess
参数名	类 型	传址	数组	备 注
ProcessHandle	整数型
ExitStatus	整数型

DLL命令名	返回值类型	公开	备 注
ZwClose	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwClose
参数名	类 型	传址	数组	备 注
hnd

数据类型名	公开	备 注
CLIENT_ID
成员名	类 型	传址	数组	备 注
UniqueProcess	整数型
UniqueThread	整数型

数据类型名	公开	备 注
OBJECT_ATTRIBUTES
成员名	类 型	传址	数组	备 注
Length	整数型
RootDirectory	整数型
ObjectName	整数型
Attributes	整数型
SecurityDescriptor	整数型
SecurityQualityOfService	整数型

数据类型名	公开	备 注
PROCESS_BASIC_INFORMATION
成员名	类 型	传址	数组	备 注
ExitStatus	整数型
PebBaseAddress	整数型
AffinityMask	整数型
BasePriority	整数型
UniqueProcessId	整数型
InheritedFromUniqueProcessId	整数型

数据类型名	公开	备 注
MEMORY_BASIC_INFORMATION
成员名	类 型	传址	数组	备 注
BaseAddress	整数型
AllocationBase	整数型
AllocattionProtect	整数型
RegionSize	整数型
State	整数型
Protect	整数型
Type	整数型

数据类型名	公开	备 注
SYSTEM_HANDLE_TABLE_ENTRY_INFO
成员名	类 型	传址	数组	备 注
UniqueProcessId	短整数型			""
CreatorBackTraceIndex	短整数型			""
ObjectTypeIndex	字节型			""
HandleAttributes	字节型			""
HandleValue	短整数型			""
pObject	整数型			""
GrantedAccess	整数型			""

常量名称	常量值	公 开	备 注
PROCESS_ALL_ACCESS	2035711	√
STATUS_INFO_LENGTH_MISMATCH	-1073741820	√
STATUS_SUCCESS	0	√
PROCESS_QUERY_INFORMATION	1024	√
STATUS_INVALID_PARAMETER	-1073741811	√
OBJ_INHERIT	2	√
DUPLICATE_CLOSE_SOURCE	1	√
DUPLICATE_SAME_ACCESS	2	√
DUPLICATE_SAME_ATTRIBUTES	4	√
OB_TYPE_PROCESS	5	√
ZwGetCurrentProcess	-1	√
PROCESS_DUP_HANDLE	64	√
JOB_OBJECT_ALL_ACCESS	2031647	√

词条作者信息 使用例程 参与校正错误的易友