挂起一个进程

最新推荐文章于 2023-11-02 07:08:15 发布
最新推荐文章于 2023-11-02 07:08:15 发布
阅读量8.2k 收藏 3
点赞数
分类专栏: C++ 进程挂起 操作系统
C++ 同时被 3 个专栏收录
20 篇文章 2 订阅
订阅专栏
操作系统
5 篇文章 0 订阅
订阅专栏
进程挂起
1 篇文章 0 订阅
订阅专栏

文章文字解说转载自“珠穆朗玛”:http://sluttery.blog.163.com/blog/static/20277252005813749336/


源代码来自“开源中国”的sincoder:http://www.oschina.net/code/snippet_196111_14193


声明:两位作者本人不认识,与之相关的技术本人很陌生,只是见到以后可能用到就摘录下来,所以有疑问去问他们两位吧




老倪今天突然问道怎样才能挂起一个进程。线程很好办,因为系统提供了 SuspendThread() API 可以直接调用。要是在两天以前,老倪还真问住我了;不过幸好是今天,老汉已经知道了答案。忘了是昨天还是前天,在用十六进制方式查看大名鼎鼎的 Process Explorer 的时候,无意之中看到了一个原来没见过的 API 名字:NtSuspendProcess(),望文知义,连弱智都应该能看出来这个函数的作用。与之相对应的还有 NtResumeProcess()。他们的原型为:
 
NTSTATUS NtSuspendProcess(HANDLE hProcess);
NTSTATUS NtResumeProcess(HANDLE hProcess);
 
从 NTDLL.DLL 中找到地址就可以直接用了。另外关于查询一个进程当前是不是处于被挂起状态我还不知道,估计跑不了 NtQueryInformationProcess()。



源代码:

潦草阅读了源代码,竟然发现两个人所说所做的异曲同工(如果两位作者是同一个人那我就无语了……)

//代码用于挂起进程,来自http://www.oschina.net/code/snippet_196111_14193
#include <windows.h>
#include <wchar.h>

typedef struct _UNICODE_STRING {
	USHORT Length;        
	USHORT MaximumLength;
	PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _CLIENT_ID {
    HANDLE UniqueProcess;
    HANDLE UniqueThread;
} CLIENT_ID;
typedef CLIENT_ID *PCLIENT_ID;
typedef LONG KPRIORITY;
typedef enum _KWAIT_REASON {
    Executive,
	FreePage,
	PageIn,
	PoolAllocation,
	DelayExecution,
	Suspended,
	UserRequest,
	WrExecutive,
	WrFreePage,
	WrPageIn,
	WrPoolAllocation,
	WrDelayExecution,
	WrSuspended,
	WrUserRequest,
	WrEventPair,
	WrQueue,
	WrLpcReceive,
	WrLpcReply,
	WrVirtualMemory,
	WrPageOut,
	WrRendezvous,
	WrKeyedEvent,
	WrTerminated,
	WrProcessInSwap,
	WrCpuRateControl,
	WrCalloutStack,
	WrKernel,
	WrResource,
	WrPushLock,
	WrMutex,
	WrQuantumEnd,
	WrDispatchInt,
	WrPreempted,
	WrYieldExecution,
	WrFastMutex,
	WrGuardedMutex,
	WrRundown,
	MaximumWaitReason
} KWAIT_REASON;

typedef struct _VM_COUNTERS {
    SIZE_T PeakVirtualSize;
    SIZE_T VirtualSize;
    ULONG  PageFaultCount;
    SIZE_T PeakWorkingSetSize;
    SIZE_T WorkingSetSize;
    SIZE_T QuotaPeakPagedPoolUsage;
    SIZE_T QuotaPagedPoolUsage;
    SIZE_T QuotaPeakNonPagedPoolUsage;
    SIZE_T QuotaNonPagedPoolUsage;
    SIZE_T PagefileUsage;
    SIZE_T PeakPagefileUsage;
} VM_COUNTERS;
typedef VM_COUNTERS *PVM_COUNTERS;

typedef struct _SYSTEM_THREAD_INFORMATION {
    ULONGLONG KernelTime;
    ULONGLONG UserTime;
    ULONGLONG CreateTime;
    ULONG WaitTime;
    ULONG Reserved1;
    PVOID StartAddress;
    CLIENT_ID ClientId;
    KPRIORITY Priority;
    LONG BasePriority;
    ULONG ContextSwitchCount;
    ULONG State;
    KWAIT_REASON WaitReason;
} SYSTEM_THREAD_INFORMATION, *PSYSTEM_THREAD_INFORMATION;

typedef struct _SYSTEM_PROCESS_INFORMATION {
    ULONG NextEntryOffset;
    ULONG NumberOfThreads;
    ULONGLONG Reserved[3];
    ULONGLONG CreateTime;
    ULONGLONG UserTime;
    ULONGLONG KernelTime;
    UNICODE_STRING ImageName;
    KPRIORITY BasePriority;
    HANDLE ProcessId;
    HANDLE InheritedFromProcessId;
    ULONG HandleCount;
    ULONG Reserved2[2];
    ULONG PrivatePageCount;  // Garbage
    VM_COUNTERS VirtualMemoryCounters;
    IO_COUNTERS IoCounters;
    SYSTEM_THREAD_INFORMATION Threads[1];
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;


/*----------------------------------------------------
函数说明: 动态加载动库文件
输入参数: pDllName 库文件名称,pProcName导出函数名字
输出参数: 无
返回值   : 返回函数的的地址
----------------------------------------------------*/
VOID *GetDllProc(CHAR * pDllName, CHAR *pProcName)
{
	HMODULE         hMod;
	hMod = LoadLibraryA(pDllName);
	if(hMod == NULL)
		return NULL;
	
	return GetProcAddress(hMod, pProcName);
}

//宏定义函数的指针
typedef LONG (WINAPI *Fun_NtQuerySystemInformation) (int SystemInformationClass,
													 OUT PVOID SystemInformation,
													 IN ULONG SystemInformationLength,
													 OUT ULONG * pReturnLength OPTIONAL);
typedef __success(return >= 0) LONG NTSTATUS;
#define STATUS_INFO_LENGTH_MISMATCH         ((LONG)0xC0000004L)
#define SystemProcessInformation         5


//Jan 4 2005
//Enable specific privilege
//启用特定的权限
BOOL EnableSpecificPrivilege(BOOL bEnable,LPCTSTR Name)
{
	BOOL bResult = FALSE;
	HANDLE hToken;
	TOKEN_PRIVILEGES TokenPrivileges;
	
	if(OpenProcessToken(GetCurrentProcess(),TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES,&hToken) == 0)
	{
		return FALSE;
	}
	
	TokenPrivileges.PrivilegeCount = 1;
	TokenPrivileges.Privileges[0].Attributes = bEnable ? SE_PRIVILEGE_ENABLED : 0;
	bResult = LookupPrivilegeValue(NULL,Name,&TokenPrivileges.Privileges[0].Luid);
	if(!bResult)
	{
		CloseHandle(hToken);
		return FALSE;
	}
	
	bResult = AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
	if(GetLastError() != ERROR_SUCCESS || !bResult)
	{
		CloseHandle(hToken);
		return FALSE;
	}
	
	CloseHandle(hToken);
	return TRUE;
}

//Jan 4 2005
//Enable all privilege, return num of privileges successfully enabled
//启用所有的特权,特权返回NUM成功启用
DWORD EnableAllPrivilege(BOOL bEnable)
{
	DWORD count=0; 
	///
	count+=EnableSpecificPrivilege(bEnable,SE_ASSIGNPRIMARYTOKEN_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_AUDIT_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_BACKUP_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_CHANGE_NOTIFY_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_CREATE_PAGEFILE_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_CREATE_PERMANENT_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_CREATE_TOKEN_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_DEBUG_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_INC_BASE_PRIORITY_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_INCREASE_QUOTA_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_LOAD_DRIVER_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_LOCK_MEMORY_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_PROF_SINGLE_PROCESS_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_REMOTE_SHUTDOWN_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_RESTORE_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_SECURITY_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_SHUTDOWN_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_SYSTEM_ENVIRONMENT_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_SYSTEM_PROFILE_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_SYSTEMTIME_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_TAKE_OWNERSHIP_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_TCB_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_UNSOLICITED_INPUT_NAME);
	count+=EnableSpecificPrivilege(bEnable,SE_MACHINE_ACCOUNT_NAME);
	
	return count;
}



/*------------------------------------------------------------------
函数说明: 获取系统进程的信息
输入参数: SYSTEM_PROCESS_INFORMATION
输出参数: 无

--------------------------------------------------------------------*/
BOOL GetSysProcInfo(SYSTEM_PROCESS_INFORMATION ** ppSysProcInfo)
{
	Fun_NtQuerySystemInformation     _NtQuerySystemInformation;
	DWORD         dwSize = 1024*1024;
	VOID         * pBuf = NULL;
	LONG         lRetVal;

	_NtQuerySystemInformation = (Fun_NtQuerySystemInformation)GetDllProc("NTDLL.DLL", "NtQuerySystemInformation");
	//这里提到了获取进程挂起信息的NtQuerySystemInformation函数
	if(_NtQuerySystemInformation == NULL)
		return FALSE;

	for(;;)
	{
		if(pBuf)
			free(pBuf);
		pBuf = (VOID *)malloc(dwSize);
		lRetVal = _NtQuerySystemInformation(SystemProcessInformation,
			pBuf, dwSize, NULL);
		if(STATUS_INFO_LENGTH_MISMATCH != lRetVal)
			break;
		dwSize += 1024;
	}
	
	if(lRetVal == 0)
	{
		*ppSysProcInfo = (SYSTEM_PROCESS_INFORMATION *)pBuf;
		return TRUE;
	}
	free(pBuf);
	return FALSE;
}


//通过进程名称挂起进程的主函数
BOOL SuspendProcessByName(wchar_t *pszProcessName)
{         
	VOID (__stdcall *pRtlInitUnicodeString)(PUNICODE_STRING ,PCWSTR);
	LONG (__stdcall *pRtlCompareUnicodeString)(PUNICODE_STRING  ,PUNICODE_STRING  ,BOOLEAN);	
	NTSTATUS (__stdcall *pNtSuspendProcess)(HANDLE);
	BOOL         bRetVal, bFind;
	UNICODE_STRING usProcessName;
	HANDLE		hProcess;
	SYSTEM_PROCESS_INFORMATION     *     pProcInfo, * pCurProcInfo;

	pRtlInitUnicodeString = (void (__stdcall *)(PUNICODE_STRING ,PCWSTR))GetDllProc("ntdll.dll","RtlInitUnicodeString");
	pRtlCompareUnicodeString =(long (__stdcall *)(PUNICODE_STRING  ,PUNICODE_STRING  ,BOOLEAN)) GetDllProc("ntdll.dll","RtlCompareUnicodeString");
	pNtSuspendProcess = (NTSTATUS (__stdcall *)(HANDLE))GetDllProc("ntdll.dll","NtSuspendProcess");
	//这里提到了挂起进程的NtSuspendProcess函数
	//这里的原句是pNtSuspendProcess = GetDllProc("ntdll.dll","NtSuspendProcess");在VS2010中编译出错,显示无法实现类型转换,故改为显示类型转换

	if(pRtlInitUnicodeString == NULL || pRtlCompareUnicodeString == NULL || pNtSuspendProcess == NULL)
	{
		wprintf(L"init function failed ..\n");
		return FALSE;
	}
	pRtlInitUnicodeString(&usProcessName,pszProcessName);
	bRetVal = GetSysProcInfo(&pProcInfo);
	if(bRetVal == FALSE || pProcInfo == NULL)
	{
		wprintf(L"enum process failed...\n");
		return FALSE;
	}
	pCurProcInfo = pProcInfo;
	bFind = FALSE;
	for(;;)
	{
		if(pRtlCompareUnicodeString(&usProcessName,&pCurProcInfo->ImageName,TRUE) == 0)
		{
			bFind = TRUE;
			wprintf(L"%s's pid is %d\n",pszProcessName,pCurProcInfo->ProcessId);
			hProcess = OpenProcess(PROCESS_SUSPEND_RESUME,FALSE,(DWORD)pCurProcInfo->ProcessId);
			if(hProcess == NULL)
			{
				wprintf(L"Open process failed !\n");
				goto failed;
			}
			if(pNtSuspendProcess(hProcess) != 0)
				wprintf(L"suspend process %s failed\n",pszProcessName);
		}
		//wprintf(L"--->%s\n",pCurProcInfo->ImageName.Buffer);
		if(pCurProcInfo->NextEntryOffset == 0)
			break;
		pCurProcInfo = (SYSTEM_PROCESS_INFORMATION *)((BYTE *)pCurProcInfo + pCurProcInfo->NextEntryOffset);
	}
	if(bFind == FALSE)
	{
		wprintf(L"process %s not find !\n",pszProcessName);
failed:
		free(pProcInfo);
		return FALSE;
	}
	free(pProcInfo);
	return TRUE;
}


//main函数
int main()
{
	wprintf(L"\tkilldog.exe By:sincoder \n\tBlog:www.sincoder.com\n");
	EnableAllPrivilege(TRUE);
	if(SuspendProcessByName(L"SafeDogGuardCenter.exe"))//需要挂起的进程名
		wprintf(L"Done!\n");
	return 0;
}

本人注:代码挂起的是SafeDogGuardCenter.exe,即安全狗的进程。新建一个控制台工项目空项目,即将上述代码放入一个新建的cpp中即可运行。

几罗星人
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
挂起进程代码
01-18
挂起进程 调用系统api,
进程挂起
zpznba的博客
03-18 5992
进程挂起状态是指该进程进程映像在磁盘上,目的是减少进程占用内存。 1.挂起: 把进程从内存转向外存 等待 -> 等待挂起 就绪 -> 就绪挂起 运行 -> 就绪挂起 2. 激活:从外存到内存 就绪挂起 -> 就绪 等待挂起 -> 等待 七状态模型图: 进程状态队列图: ...
c语言编程调试及挂起分析
06-14
调试(debugging)是指去掉程序中的错误(通常被称为bugs)的过程。一个错误可能非常简单,例如拼错一个单词或者漏掉一个分号;也可能比较复杂,例如使用一个指向并不存在的地址的指针。无论错误的复杂程度如何,掌握正确的调试方法都能使程序员受益匪浅。
为什么c语言写程序要挂起,我运行的C语言程序挂起了,应该怎么办?
weixin_39517902的博客
05-17 582
导航:网站首页 >我运行的C语言程序挂起了,应该怎么办?时间:2017-11-14相关问题:匿名网友:当你运行一个程序时会有多种原因使它挂起,这些原因可以分为以下4种基本类型:(1)程序中有死循环;(2)程序运行的时间比所期望的长;(3)程序在等待某些输入信息,并且直到输入正确后才会继续运行;(4)程序设计的目的就是为了延迟一段时间,或者暂停执行。在讨论了因未知原因而挂起的程序的调试技巧后,...
挂起进程.cpp 将一个进程挂起
04-18
利用Windows API将一个进程挂起。DEV C++可编译。
C#中进程挂起与恢复
08-31
在Windows操作系统中,可以使用内核API函数`NtSuspendProcess`来挂起一个进程,使其暂停执行;而`NtResumeProcess`则用于恢复已挂起进程,使其重新开始执行。这些函数并未在MSDN(Microsoft Developer Network)...
Linux 下进程挂起和恢复命令
09-15
首先,让我们了解挂起进程。在Linux中,按下`Ctrl + Z`快捷键可以将当前前台运行的进程挂起。这个操作会将进程放到后台,并且不会立即结束进程,而是将其置于停止状态。你可以通过`jobs`命令查看当前用户的所有挂起...
vc++挂起进程 冻结进程
08-23
挂起进程是指将一个正在运行的进程暂时停止执行,而冻结进程则是挂起进程的一种更严格的形态,不仅阻止进程执行,还阻止其资源的分配。这些操作通常需要高级权限,如管理员权限。 标题"vc++挂起进程 冻结进程"所...
进程挂起进程结束源码
02-27
进程挂起进程结束源码
linux 下C语言编程(2)——进程的创建,挂起,解挂,进程间通信
HeatDeath的博客
07-30 4524
在 linux 下利用C语言实现进程的创建,挂起和解挂操作 #include #include #include #include #include #include #include /*********************************************************** 功能说明:在 linux 下利用C语言实现进程的创建,挂起和解
挂起方式创建进程
hambaga的博客
07-02 4002
创建进程除了用 CREATE_NEW_CONSOLE,还可以用挂起的方式创建,CREATE_SUSPENDED // TestCreateSuspended.cpp : Defines the entry point for the console application. // 挂起方式创建进程 #include "stdafx.h" #include <WINDOWS.H> int main(int argc, char* argv[]) { // 挂起方式创建进程 STARTUPI
Win32学习笔记(7)进程相关API
wzprabbit的博客
12-18 821
1.ID与句柄: 句柄:就是进程里的私有表里的一个索引。 不过除了进程中的句柄表,操作系统也有一个句柄表。称为全局句柄表 全局句柄表并不是一个私有的概念,整个操作系统只有一份。全局句柄表至少包含所有的正在运行中的所有的进程和线程。 在创建进程的学习中我们知道,CreateProcess()函数中的最后一个参数lpProcessInformation指向PROCESS_INFORMATION结构体,结构体成员中有 hProcess;//进程句柄 dwProcessId;//进程id 那么两者.
MFC任务管理器task manager----进程挂起与恢复--NtSuspendProcess&&NtResumeProcess
weixin_34416649的博客
03-15 415
http://hi.baidu.com/xbbsh/blog/item/b73d3125462201084c088db1.html -------------------------------------------------- MFC任务管理器task manager----进程挂起与恢复--NtSuspendProcess&amp;&amp;NtResumeProcess 2009...
进程挂起以及可重入函数
qq_41027326的博客
04-14 679
相关接口     pause 函数用于将进程挂起. 如果信号的处理动作是终止进程, 则进程终止, pause 函数没有返回值; 如果信号的处理动作是忽略, 则进程挂起, pause函数不返回, 如果信号的处理动作是捕捉, 则调用信号处理动作之后pause 返回 -1. 来看一段代码 #include&lt;stdio.h&gt; #include&lt;stdlib.h&gt; ...
进程挂起器(suspender)
最新发布
2301_77518027的博客
11-02 244
现在挂起进程的工具越来越少。很多人都想自制一个进程挂起器。我也想自制一个经常挂起器,于是经过研究设计出了第一代(控制台)。可笑的是别人的进程挂起器都是有UI的,并且代码我也看不懂。既然看不了别人的,那就自己做一个呀。苦学Windows API之后终于设计出了第二代进程挂起器。代码如下,已经标完注释了,大家可以看,或者“借鉴”。如果不想编译文译文的,可以在下列链接中获取相应文件。
windows挂起进程方法介绍
追光少年的博客
07-27 5619
windows如何挂起进程是某些用户在使用windows的时候遇到的问题,挂起进程的意思是用户在有限的内存资源中进行暂时淘汰那些无用的进程,通过这个方法可以给用户的都能内存提供一定的空间,用户们可以通过任务管理器挂起,也可以通过使用cmd命令提示符来进行操作,下面就是win7挂起进程方法介绍。首先通过tasklist命令查看记事本程序的pID号。2.通过tasklist命令可以查看系统进程的pID号。5.要释放被挂起暂停的进程,可以通过-r参数来释放。使用方法很简单命令后面接进程的PID号。...
win32 判断进程状态(挂起/运行中)、用API挂起/恢复进程
不蚌埠!
08-09 4267
应用层判断进程是否挂起的多种方法和调用API NtSuspendProcess()挂起进程
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值