CreateProcess在3环最终会调用ntdll!NtCreateUserProcess通过syscall进入0环，我们可以通过调用NtCreateUserProcess来规避AV/EDR对CreateProcess的监控