Windows のプロセスが Process Explorer または同様のソフトウェア (例: Process Hacker) によって一時停止されるとどうなりますか? Sysinternals の作成者は、プロセスを終了する前にまず一時停止することを推奨していると Web のどこかで読みました。
代わりにプロセスを直接終了した場合、何か違いはありますか?
答え1
いいえ、必要ありません。ただし、相互に監視する複数のプロセスを使用するマルウェアがシステムに存在する場合は、いずれかを終了する前に、まずすべてのプロセスを一時停止する必要があります。
答え2
Process Explorerでは、プロセスはsyscallを使用して一時停止されますNtSuspendProcess。このページ他にもいくつかの方法があります。
終了時にプロセスが中断されているか実行中であるかに違いはありません。どちらの場合も、TerminateProcessWin32 API が使用されているため、クリーンアップの機会がありません。