Was passiert, wenn ein Prozess in Windows von Process Explorer oder einer ähnlichen Software (z. B. Process Hacker) angehalten wird? Ich habe irgendwo im Internet gelesen, dass die Autoren von Sysinternals empfehlen, den Prozess zuerst anzuhalten, bevor man ihn beendet.
Macht es einen Unterschied, wenn ich den Vorgang stattdessen direkt beende?
Antwort1
Nein, das ist nicht notwendig. Wenn Sie jedoch Malware auf Ihrem System haben, die mehrere Prozesse verwendet, die als Watchdogs füreinander fungieren, sollten Sie diese zuerst alle anhalten, bevor Sie einen davon beenden.
Antwort2
Im Process Explorer wird der Prozess über den NtSuspendProcessSystemaufruf angehalten. Siehediese Seitefür mehrere andere mögliche Methoden.
Es macht keinen Unterschied, ob ein Prozess zum Zeitpunkt der Beendigung angehalten oder ausgeführt wird. In beiden FällenTerminateProcessEs wird eine Win32-API verwendet, sodass keine Möglichkeit zur Bereinigung besteht.