遍历进程枚举打开的文件句柄，可以说是文件删除利器。有多种删除方式R3 R0层

这个EPROCESS结构在ntddk.h中有定义，但是并未给出具体的结构，因此要得到EPROCESS中一些重要的成员变量，只能通过偏移的方法，比如PID,ImageName等．这些偏移可以在Windbg中dt _EPROCESS得到，但是不公开感觉还是不爽，而且这东西在不同的系统版本中不一样，如果要兼容的话，就必须先判断操作系统版本，遍历EPROCESS中的进程-The ntddk.h EPROCESS structure are defined, but did not give a spec

通过PspCidTable遍历进程线程，并用PspTerminateThreadByPointer结束，无硬编码，在XP下测试通过((Baidu Translate)Through the PspCidTable traversal process thread, and ended with PspTerminateThreadByPointer, no hard coding, tested under XP.)