先精准终止占用进程

说实话，十次删除失败，九次都是因为文件正被某个进程当作模块加载。不先把句柄释放掉，光改所有权纯粹是白费力气——资源管理器依然会提示“文件正被使用”，连改权限的机会都触发不了。

操作非常简单：按下Ctrl + Shift + Esc调出任务管理器，切换到“详细信息”选项卡，在上方搜索框直接输入DLL文件名（比如evil.dll）。如果没搜到，再按Ctrl + F二次搜索（不区分大小写）。一旦发现匹配的进程，例如loader.exe或updater.exe，右键“结束任务”即可。但如果命中的是svchost.exe，请立即停手——这个进程是系统服务宿主，不能直接杀掉。你需要改用命令行验证具体的占用者。

按下Win + R输入cmd，按住Ctrl + Shift敲回车，以管理员身份打开命令提示符。执行：tasklist /m evil.dll | findstr /i evil.dll。如果返回了PID和进程名，记下来，然后立刻下杀手：taskkill /f /im 进程名.exe（例如 taskkill /f /im loader.exe）。这一步完成后，才算为后续动作扫清了障碍。

用 takeown + icacls 强制夺取所有权并赋权

这是唯一能绕过图形界面缓存、直连内核安全子系统的硬核路径。对付被TrustedInstaller锁定的DLL，成功率接近100%。注意，必须使用管理员终端操作——按下Win + X，选择“Windows 终端(管理员)”，UAC弹窗点“是”。然后逐行输入以下命令（将C:\Windows\System32\evil.dll替换为你的实际路径）：

takeown /f "C:\Windows\System32\evil.dll" /d y

执行成功后，紧跟着：

icacls "C:\Windows\System32\evil.dll" /grant Administrators:F

注意：这里绝对不能用%username%代替Administrators。系统级DLL的ACL默认会屏蔽普通用户SID，只有Administrators组才能被原子写入完全控制权限。如果用错了，icacls会直接报错，权限赋予也会失败。

图形界面补全权限并立即删除

命令行赋权后，资源管理器里的权限视图可能还没来得及刷新，删除选项仍然是灰色。这时需要手动触发一次ACL同步。

右键目标DLL文件，选择“属性”，切换到“安全”选项卡，点击“高级”。在弹出的“高级安全设置”窗口里，确认所有者已经变为Administrators或你的用户名。如果没有变化，点击“所有者”右侧的“更改”，输入Administrators，点击“检查名称”确认，确定，然后勾选“替换子容器和对象的所有者”，点击“应用”。

接着回到“安全”选项卡，点击“编辑”，再点击“添加”，输入Administrators，检查名称后确定。在下方的权限列表里勾选“完全控制”，确认“应用于”是“此文件”，点确定。关掉所有属性窗口，再次右键那个DLL文件，选择“删除”。这次，它应该会乖乖进入回收站。