O que acontece quando um processo no Windows é suspenso pelo Process Explorer ou software semelhante (por exemplo, Process Hacker)? Li em algum lugar na web que os autores do Sysinternals recomendam suspender o processo antes de encerrá-lo.
Há alguma diferença se eu encerrar o processo diretamente?
Responder1
Não, não é necessário. No entanto, se você tiver malware em seu sistema que usa vários processos que atuam como vigilantes uns dos outros, suspenda todos eles primeiro, antes de encerrar qualquer um deles.
Responder2
No Process Explorer, o processo é suspenso usando o NtSuspendProcesssyscall. Veresta páginapara vários outros métodos possíveis.
Não há diferença se um processo está suspenso ou em execução no momento do encerramento – em ambos os casos, oTerminateProcessA API Win32 é usada, não dando chance de limpeza.