我挂载了SSDT中的NtTerminateProcess函数
NTSTATUS NTAPI
NewNtTerminateProcess( IN HANDLE ProcessHandle OPTIONAL,
                          IN NTSTATUS ExitStatus )
这里有几个问题。
1.我在HOOK函数中使用PsGetCurrentProcess取得EPROCESS是哪个进程的信息？是调用TerminateProcess函数的进程吗？？
2.内核模式下的进程转换又是怎么回事？执行NtTerminateProcess函数的线程或进程不一定是执行TerminateProcess的吗？
3.我用ObReferenceObjectByHandle(ProcessHandle, 0, 0, KernelMode, &pProcess, 0 )得到了进程内核对象的指针，可进程内核对象的结构是什么？这方面除了用WinDbg看还有什么比较快速的参考材料吗？
4.我想在NewNtTerminateProcess中取得调用者的信息，如何才能，是否还要挂其它函数？

嗯……问题挺多的，哈哈，谢谢各位挪出时间照顾我这个新手

[培训]科锐逆向工程师培训第53期2025年7月8日开班！