7.6 实现进程挂起与恢复

挂起与恢复进程是指暂停或恢复进程的工作状态，以达到一定的控制和管理效果。在 Windows 操作系统中，可以使用系统提供的函数实现进程的挂起和恢复，以达到对进程的控制和调度。需要注意，过度使用进程挂起/恢复操作可能会造成系统性能的降低，导致死锁等问题，因此在使用时应该谨慎而慎重。同时，通过和其他进程之间协同工作，也可以通过更加灵活的方式，实现进程的协调、交互等相应的功能，从而实现更加高效和可靠的进程管理。
要实现挂起进程，首先我们需要实现挂起线程，因为挂起进程的实现原理是通过调用SuspendThread函数循环将进程内的所有线程全部挂起后实现的，而要实现挂起线程则我们需要先确定指定进程内的线程信息，要实现枚举进程内的线程信息则可以通过以下几个步骤实现。
首先通过CreateToolhelp32Snapshot得到当前系统下所有的进程快照，并通过遍历进程的方式寻找是否符合我们所需要枚举的进程名，如果是则调用CreateToolhelp32Snapshot并通过传入TH32CS_SNAPTHREAD代表枚举线程，通过循环的方式遍历进程内的线程，每次通过调用OpenThread打开线程，并调用ZwQueryInformationThread查询该线程的入口信息以及线程所在的模块信息，最后以此输出即可得到当前进程内的所有线程信息。

1. #include <iostream>
2. #include <Windows.h>  
3. #include <TlHelp32.h>
4. #include <Psapi.h>
6. using namespace std;
8. typedef enum _THREADINFOCLASS
9. {
10.   ThreadBasicInformation,
11.   ThreadTimes,
12.   ThreadPriority,
13.   ThreadBasePriority,
14.   ThreadAffinityMask,
15.   ThreadImpersonationToken,
16.   ThreadDescriptorTableEntry,
17.   ThreadEnableAlignmentFaultFixup,
18.   ThreadEventPair_Reusable,
19.   ThreadQuerySetWin32StartAddress,
20.   ThreadZeroTlsCell,
21.   ThreadPerformanceCount,
22.   ThreadAmILastThread,
23.   ThreadIdealProcessor,
24.   ThreadPriorityBoost,
25.   ThreadSetTlsArrayAddress,
26.   ThreadIsIoPending,
27.   ThreadHideFromDebugger,
28.   ThreadBreakOnTermination,
29.   MaxThreadInfoClass
30. }THREADINFOCLASS;
32. typedef struct _CLIENT_ID
33. {
34.   HANDLE UniqueProcess;
35.   HANDLE UniqueThread;
36. }CLIENT_ID;
38. typedef struct _THREAD_BASIC_INFORMATION
39. {
40.   LONG ExitStatus;
41.   PVOID TebBaseAddress;
42.   CLIENT_ID ClientId;
43.   LONG AffinityMask;
44.   LONG Priority;
45.   LONG BasePriority;
46. }THREAD_BASIC_INFORMATION, *PTHREAD_BASIC_INFORMATION;
48. extern "C" LONG(__stdcall * ZwQueryInformationThread)
49. (
50. IN HANDLE ThreadHandle,
51. IN THREADINFOCLASS ThreadInformationClass,
52. OUT PVOID ThreadInformation,
53. IN ULONG ThreadInformationLength,
54. OUT PULONG ReturnLength OPTIONAL
55. ) = NULL;
57. // 枚举进程内的线程
58. BOOL EnumThread(char *ProcessName)
59. {
60.   // 进程快照句柄
61.   HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
62.   PROCESSENTRY32 process = { sizeof(PROCESSENTRY32) };
64.   // 遍历进程
65.   while (Process32Next(hProcessSnap, &process))
66.   {
67.     // char* 转 string
68.     string s_szExeFile = process.szExeFile;
69.     if (s_szExeFile == ProcessName)
70.     {
71.       HANDLE hThreadSnap = INVALID_HANDLE_VALUE;
72.       THREADENTRY32 te32;
74.       // 创建线程快照
75.       hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
76.       if (hThreadSnap == INVALID_HANDLE_VALUE)
77.       {
78.         return FALSE;
79.       }
81.       // 为快照分配内存空间
82.       te32.dwSize = sizeof(THREADENTRY32);
84.       // 获取第一个线程的信息
85.       if (!Thread32First(hThreadSnap, &te32))
86.       {
87.         return FALSE;
88.       }
90.       // 遍历线程
91.       while (Thread32Next(hThreadSnap, &te32))
92.       {
93.         // 判断线程是否属于本进程
94.         if (te32.th32OwnerProcessID == process.th32ProcessID)
95.         {
96.           // 打开线程
97.           HANDLE hThread = OpenThread(
98.             THREAD_ALL_ACCESS,        // 访问权限
99.             FALSE,                    // 由此线程创建的进程不继承线程的句柄
100.             te32.th32ThreadID         // 线程 ID
101.             );
102.           if (hThread == NULL)
103.           {
104.             return FALSE;
105.           }
107.           // 将区域设置设置为从操作系统获取的ANSI代码页
108.           setlocale(LC_ALL, ".ACP");
110.           // 获取 ntdll.dll 的模块句柄
111.           HINSTANCE hNTDLL = ::GetModuleHandle("ntdll");
113.           // 从 ntdll.dll 中取出 ZwQueryInformationThread
114.           (FARPROC&)ZwQueryInformationThread = GetProcAddress(hNTDLL, "ZwQueryInformationThread");
116.           // 获取线程入口地址
117.           PVOID startaddr;                          // 用来接收线程入口地址
118.           ZwQueryInformationThread(
119.             hThread,                              // 线程句柄
120.             ThreadQuerySetWin32StartAddress,      // 线程信息类型 ThreadQuerySetWin32StartAddress 线程入口地址
121.             &startaddr,                           // 指向缓冲区的指针
122.             sizeof(startaddr),                    // 缓冲区的大小
123.             NULL
124.             );
126.           // 获取线程所在模块
127.           THREAD_BASIC_INFORMATION tbi;            // _THREAD_BASIC_INFORMATION 结构体对象
128.           TCHAR modname[MAX_PATH];                 // 用来接收模块全路径
129.           ZwQueryInformationThread(
130.             hThread,                             // 线程句柄
131.             ThreadBasicInformation,              // 线程信息类型，ThreadBasicInformation ：线程基本信息
132.             &tbi,                                // 指向缓冲区的指针
133.             sizeof(tbi),                         // 缓冲区的大小
134.             NULL
135.             );
137.           // 检查入口地址是否位于某模块中
138.           GetMappedFileName(
139.             OpenProcess(                                        // 进程句柄
140.             PROCESS_ALL_ACCESS,                                 // 访问权限
141.             FALSE,                                              // 由此线程创建的进程不继承线程的句柄
142.             (DWORD)tbi.ClientId.UniqueProcess                   // 唯一进程 ID
143.             ),
144.             startaddr,                            // 要检查的地址
145.             modname,                              // 用来接收模块名的指针
146.             MAX_PATH                              // 缓冲区大小
147.             );
148.           std::cout << "线程ID: " << te32.th32ThreadID << " 线程入口: " << startaddr << " 所在模块: " << modname << std::endl;
149.         }
150.       }
151.     }
152.   }
153. }
155. int main(int argc, char* argv[])
156. {
157.   EnumThread("lyshark.exe");
159.   system("pause");
160.   return 0;
161. }

复制代码

读者可自行编译并运行上述代码，通过调用SuspendProcess函数并以此传入需要挂起的进程PID以及一个状态，当该状态为TRUE时则代表挂起进程，而当状态值为FALSE时则代表为恢复一个进程，当一个进程被挂起后其会出现卡死的现象，当恢复后一切都会变得正常。
本文作者： 王瑞
本文链接： https://www.lyshark.com/post/5fbc3082.html
版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！