我打算加入ntdll函数ZwTerminateProcess,但我遇到x64问题,因为如果x86应用程序在Windows {{1}中运行它加载了x64:
一个来自two ntdlls路径,另一个来自System32。
在此之前我没有任何问题,但是:当我使用SysWOW64或ntdll(system32)列出dlls时以及使用{{CreateToolhelp32Snapshot()时,第一个EnumProcessModules()不显示1}}返回来自第二个GetModuleHandle()的{{1}}。
我在想第一个hModule可能加载了ntdll(SysWOW64),但如果是这样的话,应用就无法使用dll中的函数。我试图将LOAD_LIBRARY_AS_DATAFILE flag挂钩到第二个first ntdll(System32)但是它不起作用。有没有人知道如何帮助我?
如果需要进一步澄清,请告诉我。
谢谢道格拉斯。