将进程的所有线程的线程 CrossThreadFlags 标志位设置成 Terminated 或者 System。
win 10 下的偏移:
dt _ethread
...
+0x6d0 CrossThreadFlags
...
这个在Wrk中有简单的说明,大概就是:
union {
ULONG CrossThreadFlags;
struct {
ULONG Terminated : 1; // 欺骗系统此线程已经结束
ULONG DeadThread : 1;
ULONG HideFromDebugger : 1;
ULONG ActiveImpersonationInfo : 1;
ULONG SystemThread : 1; // 欺骗系统此线程为系统线程
ULONG HardErrorsAreDisabled : 1;
ULONG BreakOnTermination : 1;
ULONG SkipCreationMsg : 1;
ULONG SkipTerminationMsg : 1;
};
};