Windows 应用暂停技术汇总

于 2024-05-29 12:27:27 发布
阅读量1k 收藏 29
点赞数 20
分类专栏: Windows 内部原理 Windows 文章标签: windows 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frendguo/article/details/139292288
版权
本文介绍了Windows下挂起进程的五种方法,包括直接调用未文档化接口、遍历线程调用SuspendThread、创建Debug Object、使用Job对象以及Win11的挂起API。每种方法详细解析了原理、存在的问题和示例,重点关注了挂起过程中可能遇到的挑战,如不能暂停内核代码和中断影响的不可恢复性。
摘要由CSDN通过智能技术生成

背景

在特定场景下,一些进程运行单纯的浪费资源,但又不能杀掉进程,所以需要通过挂起的方式,暂停进程运行。以释放资源给关键进程运行。

方法对比

在这里插入图片描述

方法详解

1. NtSuspendProcess

通过直接调用 NtSuspendProcess 来对进程进行挂起,通过 NtResumeProcess 来恢复进程。

此 API 是 ntdll.dll 导出但未文档化的接口。也是最常用到的接口。其中 ProcessHackerSystemInfomationsSandboxie 等都使用的这种方式。

但也存在一定的缺陷,一些情况下还是会存在无法挂起的情况。

例如:

[Plus v1.11.4] Process Suspend/Resume issues · Issue #3375 · sandboxie-plus/Sandboxie

devenv, msedge, discord, skype and other processes cannot be suspended · Issue #856 · winsiderss/sys

下面我们来看看它是怎么做的:

1.1 原理

通过 https://github.com/reactos/reactos 进去(这里也可以通过 windbg 来看,是一样的),可以看到其调用链:

NtSuspendProcess -> PsSuspendProcess -> PsGetNextProcessThread + PsSuspendThread -> KeSuspendThread -> KiSuspendThread -> KiInsertQueueApc

那这个我们就突然熟悉了,这就很明显了,就是通过在内核模式下,通过遍历线程,然后依次塞入 APC 来进行挂起。具体可以看 线程挂起和恢复 里面有详细的分析。

1.2 问题

  • 不能暂停内核代码。由于是塞了个 APC 到线程中去,所以是需要等内核代码执行完成后才会执行到 APC 中,才有可能被暂停(加之 APC 队列中可能还存在其他 APC)
  • 中断的影响不可恢复。如果在遍历线程的过程中进程意外退出,可能导致部分线程被挂起的状态,可能导致进程部分功能异常。且无法恢复。

1.3 示例

void ByNtSuspendProcess(DWORD dwProcessId)
{
    HANDLE hProcess = OpenProcess(PROCESS_SUSPEND_RESUME, FALSE, dwProcessId);
    if (hProcess == NULL)
    {
        std::cout << "OpenProcess failed" << std::endl;
        return;
    }

    if (NtSuspendProcess(hProcess) != STATUS_SUCCESS)
    {
        std::cout << "NtSuspendProcess failed" << std::endl;
        CloseHandle(hProcess);
        return;
    }

    std::cout << "Process suspended" << std::endl;
    CloseHandle(hProcess);
}

void ByNtResumeProcess(DWORD dwProcessId) {
    HANDLE hProcess = OpenProcess(PROCESS_SUSPEND_RESUME, FALSE, dwProcessId);
    if (hProcess == NULL)
    {
        std::cout << "OpenProcess failed" << std::endl;
        return;
    }

    if (NtResumeProcess(hProcess) != STATUS_SUCCESS)
    {
        std::cout << "NtResumeProcess failed" << std::endl;
        CloseHandle(hProcess);
        return;
    }

    std::cout << "Process resumed" << std::endl;
    CloseHandle(hProcess);
}

2. SuspendThread

通过遍历当前进程的所有线程,然后依次在用户模式下调用 SuspendThread 来实现进程的挂起,通过 ResumeThread 来恢复进程。

特别地:对于 WOW64 线程,需要调用 Wow64SuspendThreadResumeThread 来进行挂起和恢复。

API 参考:

这里不同的遍历线程方式,可能会产生不同的效果。

主要分为两种不同的遍历方式:

  • CreateToolhelp32Snapshot function (tlhelp32.h) - Win32 apps:通过创建快照的方式,依次进行挂起
    • 只记录调用时刻的线程列表,调用后创建的进程没法获取
    • 进程快照会带来较大的开销
    • 快照中记录的是线程 ID,如果该线程退出后,快速被分配其他线程,则有可能挂起错误的线程(可能性很少,但存在可能)
  • NtGetNextThread(undocument):依次枚举线程,再挂起。由于其是挂起一个线程,获取下一个线程,所以不存在上述问题。

2.1 原理

此方式的原理在 线程挂起和恢复 有较详细的分析,这里不再赘述。与 NtSuspendProcess 几乎一致。

2.2 问题

  • 额外的开销。由于在用户模式下遍历线程,并调用 SuspendThread,这里需要每次在获取目标线程的句柄时,都有额外的检查。
  • 不能暂停内核代码。由于是塞了个 APC 到线程中去,所以是需要等内核代码执行完成后才会执行到 APC 中,才有可能被暂停(加之 APC 队列中可能还存在其他 APC)
  • 中断的影响不可恢复。如果在遍历线程的过程中进程意外退出,可能导致部分线程被挂起的状态,可能导致进程部分功能异常。且无法恢复。

2.3 示例

  1. Snapshot & SuspendThread
void BySnapshotAndSuspendThread(DWORD dwProcessId)
{
   
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
    if (hProcess == NULL)
    {
   
        std::cout << "OpenProcess failed" << std::endl;
        return;
    }

    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, dwProcessId);
    if (hSnapshot == INVALID_HANDLE_VALUE)
    {
   
        std::cout << "CreateToolhelp32Snapshot failed" << std::endl;
        CloseHandle(hProcess);
        return;
    }

    THREADENTRY32 te32;
    te32.dwSize = sizeof(THREADENTRY32);
    if (!Thread32First(hSnapshot, &te32))
    {
   
        std::cout << "Thread32First failed" << std::endl;
        CloseHandle(hSnapshot);
        CloseHandle(hProcess);
        return;
    }

    do
    {
   
        if (te32.th32OwnerProcessID == dwProcessId)
        {
   
            HANDLE hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, te32.th32ThreadID);
            if (hThread == NULL)
            {
   
                std::cout << "OpenThread failed" << std::endl;
                CloseHandle(hSnapshot);
                CloseHandle(hProcess);
                return;
            }

            if (SuspendThread(hThread) == -1)
            {
   
                std::cout << "SuspendThread failed" << std::endl;
                CloseHandle(hThread);
                CloseHandle(hSnapshot);
                CloseHandle(hProcess);
                return;
            }

            std::cout << "Thread " << te32.th32ThreadID << " suspended" << std::endl;
            CloseHandle(hThread);
        }
    } while (Thread32Next(hSnapshot, &te32));

    CloseHandle(hSnapshot);
    CloseHandle(hProcess);
}

void
最低0.47元/天 解锁文章
frendguo
关注
  • 20
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
检测当前进程是否被挂起
zhuhuibeishadiao
06-04 7687
KTHREAD的结构: +0x16c SuspendApc : _KAPC +0x19c SuspendSemaphore : _KSEMAPHORE +0x1b0 ThreadListEntry : _LIST_ENTRY +0x1b8 FreezeCount : Char +0x1b9 SuspendCount : Char
Nt内核函数原型and中文
dengjiatao9832的博客
09-21 533
NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止...
进程挂起器(suspender)
2301_77518027的博客
11-02 240
现在挂起进程的工具越来越少。很多人都想自制一个进程挂起器。我也想自制一个经常挂起器,于是经过研究设计出了第一代(控制台)。可笑的是别人的进程挂起器都是有UI的,并且代码我也看不懂。既然看不了别人的,那就自己做一个呀。苦学Windows API之后终于设计出了第二代进程挂起器。代码如下,已经标完注释了,大家可以看,或者“借鉴”。如果不想编译文译文的,可以在下列链接中获取相应文件。
windows系统下c语言暂停程序
evergreen79的专栏
03-12 7322
windows系统下,很多C语言初学者的调试时,往往没看到结果程序就退出了,据我所知的方法主要有以下几种 方法一: #include int main() { system("pause");//利用了DOS命令,按任意键继续 return 0; } 方法二: #include int main() { getchar();//须按回车键结束,不是任意键 return
程序运行暂停控制(pause 函数和 sleep 函数)
动感超人_Crush
05-20 1021
在C语言中,pause()和sleep()是两个用于控制程序执行流程的函数,它们可以让程序暂停执行一段时间,但它们的特性和用途有所不同。
windows核心编程之线程暂停和恢复
baidu_25539425的博客
09-21 1422
每个线程都有一个线程内核对象,内核对象里包含各种信息 该对象里有一个暂停计数,当暂停计数大于0的时候,线程暂停 DWORD SuspendThread( HANDLE hThread //线程句柄 );//这个函数可以暂停线程,使得暂停计数加1 DWORD ResumeThread( HANDLE hThread // 线程句柄 );//这个函数使得线程的暂停计数减1,
C/C++之休眠函数Windows的Sleep(毫秒)和linux的sleep(秒)、usleep(微秒)
sandalphon4869的博客
09-29 2万+
文章目录一、Windows二、linux1. Sleep2.delay()3.usleep() 一、Windows 头文件: #include<windows.h> Sleep() 函数原型 Sleep(unsigned long); 其中,Sleep()里面的单位,是以毫秒为单位 二、linux 头文件: #include <unistd.h> 1. Slee...
Windows 应用性能关键字段解析
最新发布
Frendguo的博客
05-29 594
解释了 Windows 应用程序的各种性能指标,包括 CPU 内核使用率和用户使用率、内存使用量(私有字节、虚拟大小、页面错误、工作集)、I/O 操作(读取、写入、其他 I/O)以及 GPU 使用率(专用、共享、已提交内存)等
Windows Phone7开发教程汇总
03-14
通过阅读《Windows Phone7开发教程汇总.pdf》这样的资料,开发者可以深入学习到上述概念和技术,逐步掌握WP7应用开发的各个环节,从而创建出符合用户需求的高质量应用。虽然Windows Phone 7已不再是最新的操作系统,...
Xuetr0.45(暂停进程和线程运行工具)
12-14
本工具可以在2000、XP(sp1/sp2/sp3)、2003(sp1/sp2/r2)、Vista(sp1/sp2)、2008(sp2)和win7(SP1)下使用。 本工具目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举
XueTr进程暂停工具
09-04
XueTr进程暂停工具XueTr进程暂停工具
湖北高职统考模拟计算机应用基础试卷.pdf
10-11
- 最小化窗口意味着应用程序转为后台运行,但并未暂停或终止运行。 6. 文字处理软件Word - "格式"菜单中的"段落"命令用于设置文档的行间距、对齐方式等格式。 - 执行"编辑"菜单中的"全选"命令会选中整个文档。 ...
Windows与Linux取证分析
PICACHU+++的博客
07-18 4290
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
win32 判断进程状态(挂起/运行中)、用API挂起/恢复进程
不蚌埠!
08-09 4249
应用层判断进程是否挂起的多种方法和调用API NtSuspendProcess()挂起进程
KnownDll Herpaderping实现无文件进程注入
dzqxwzoe的博客
08-12 278
本文是对 Windows Process Injection: KnownDlls CachePoisoning的整理学习,并与Herpadering技术结合实现无文件注入。
驱动插ring3线程执行代码
weixin_30535167的博客
03-06 134
近日有在写一个小东西 需要在内核态中运行一个WIN32程序 之前提到的插入APC可以满足部分要求 但是一到WIN7 x86平台下就崩溃了WIN7下只能插入第三方的进程 一插入系统进程就崩溃,但是这样满足不了我们猥琐的想法- - 后来找到了一段代码 是注入RING3线程的 基本流程就是查找系统中某个进程 比如explorer.exe然后遍历线程链表,判断线程是否是RING3的线程...
驱动关闭进程
qq_41071646的博客
10-28 939
#include &lt;ntifs.h&gt; NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
使程序暂停的3种方法
热门推荐
Jaen_tail的博客
09-20 2万+
常见的3种能让程序在运行时调试时暂停,按任意键继续的方法: getch(); 所在头文件:conio.h (conio是Console Input/Output(控制台输入输出)的简写,不是C标准库中的头文件,其中定义了通过控制台进行数据输入和数据输出的函数,主要是一些用户通过按键盘产生的对应操作,比如getch()函数等等conio库不仅适用于 Windows 平台,在 L
Windows Phone 7开发全攻略:从入门到进阶
Windows Phone 7还提供了多任务处理能力,尽管与现代Android和iOS系统中的多任务有所不同,开发者需要了解如何在后台运行任务并处理暂停和恢复事件,以确保应用在不同状态下能正确运行。 为了提升用户体验,开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值