《Windows核心编程》——五 作业

前言

    Windows提供了一个作业（job）内核对象，它允许我们将进程组合在一起并创建一个“沙箱”来限制进程能够做什么。最好把作业对象想象成一个进程容器。但是，创建只包含一个进程的作业同样非常有用，因为这样可以对进程施加平时不能施加的限制。

    如果进程已与一个作业关联，就无法将当前进程或者它的任何子进程从作业中去除。这个安全特性可以确保进程无法摆脱对它的限制。

    关闭一个作业对象，不会迫使作业中的所有进程都终止运行。作业对象实际只是加了一个删除标记，只有在作业中的所有进程都已经终止运行之后，才会自动销毁。关闭作业的句柄会导致所有进程都不可访问此作业，即使这个作业仍然存在。

 

5.1 对作业中的进程施加限制（SetInformationJobObject）

    创建好一个作业之后，接着一般会根据作业中的进程能够执行哪些操作来建立一个沙箱（即施加限制）。可以向作业应用施加以下几种类型的限制：

    a. 基本限额和扩展基本限额，用于防止作业中的进程独占系统资源

    b. 基本的UI限制，用于防止作业中的进程更改用户界面

    c. 安全限额，用于防止作业内的进程访问安全资源（文件、注册表子项等）

 

5.2 将进程放入作业中（AssginProcessToJobObject）

    在我们创建子进程之后且允许它运行之前，必须调用该函数显示地将进程放入到一个作业中。该函数只允许将尚未分配给任何作业的一个进程分配给一个作业。一旦进程已经属于作业的一部分，它就不能再移动到另外一个作业中，也不能成为所谓”无业的“。另外当作业中的一个进程生成了另一个进程的时候，新进程将自动成为父进程所属于的作业的一部分。但可以一些方式改变该种行为。

 

5.3 终止作业中所有的线程（TerminateJobObject）

    该函数类似于为作业中的每一个进程调用TerminateProcess，将所有退出代码设为uExitCode。

    可以通过调用QueryInformationJobObject来查询作业当前的限制，也可以用它来获得作业的统计信息，还可以用它来同时查询基本统计信息和I/O统计信息。

    对于那些不属于任何作业的进程，我们可以使用GetProcessIoCounters函数来获得未放入作业的那些进程的信息。

 

5.4 作业通知

    我们有时很想知道作业中的所有线程在何时终止运行，或者所有已分配的CPU时间是否已经到期，还想知道作业内部何时生成了一个新的进程，或者作业中的进程何时终止运行？