最近遇到一个BUG，通过Word在打开hyperlink时，在进程通知回调中结束了Chrome浏览器进程，目标进程虽然被杀了，但是Word还会再尝试用另一种方法再打开浏览器，这种情况只出现在Win7上，百思不得其解。。。最终定位到根本原因，原来是调用ZwTerminateProcess时传错了ExitStatus参数导致，修改为STATUS_ACCESS_DENIED后问题解决；

微软提供了3个进程创建通知回调，参数和NT内核支持不同，分别是

• PsSetCreateProcessNotifyRoutine Windows 2000
• PsSetCreateProcessNotifyRoutineEx VistaSP1 or WinServer2008
• PsSetCreateProcessNotifyRoutineEx2 Win10 1703

其中Ex、Ex2版本的进程通知回调中结束进程，可以直接设置参数的CreateInfo.ExitStatus = STATUS_ACCESS_DENIED

而PsSetCreateProcessNotifyRoutine，常规做法是，在回调中再创建一个内核线程，在新线程中通过ZwTerminateProcess去结束想要阻止创建的进程；

ZwTerminateProcess第二个参数是ExitStatus，如果传入NULL，表示进程正常退出，某些场景会影响父进程的处理逻辑，正确做法应该也跟Ex版本一样，传入STATUS_ACCESS_DENIED