Windows Internals 笔记——终止进程

1.进程可以通过以下四种方式终止:

  • 主线程的入口点函数返回(强烈推荐的方式)
  • 进程中的一个线程调用ExitProcess函数(避免这种方式)
  • 另一个进程中的线程调用TerminateProcess函数(避免这种方式)
  • 进程中的所有线程都“自然死亡”(这种情况几乎从来都不会发生)

2.应该保证只有在主线程的入口点函数返回之后,这个应用程序的进程才终止,只有这样才能保证主线程的所有资源都被正确清理。让主线程的入口点函数返回,可以保证以下操作会被执行:

  • 该线程创建的任何C++对象都将由这些对象的析构函数正确销毁。
  • 操作系统将正确释放线程栈使用的内存。
  • 系统将线程的退出代码(在进程内核对象中维护)设为入口点函数的返回值。
  • 系统递减进程内核对象的使用计数。

3.ExitProcess函数将终止进程,并设置退出代码,没有返回值,而且之后的代码永远不会被执行(对象的析构函数也无法被调用)。

4.当主线程的入口点函数(WinMain,main)返回时,会返回到C/C++运行库的启动代码,后者将正确清理进程使用的全部C运行时资源。释放了C运行时资源之后,C运行时启动代码将显示调用ExitProcess,并将入口点函数返回的值传给它。这便解释了为什么只需从主线程的入口点函数返回,就会终止整个进程。注意,进程中运行的其他任何线程都会随进程一起终止。

5.从操作系统的角度出发,一个进程在其所有线程都终止之后才会终止时正确的。但是C/C++运行库的策略是:不管进程中是否还有其他线程在运行,只要主线程从它的入口点函数返回,C/C++库就会调用ExitProcess来终止进程。但是如果入口点函数中调用的是ExitThread而不是ExitProcess或入口点函数直接返回,应用程序的主线程将停止执行,但只要进程中还有其他线程在运行,进程就不会终止。

6.任何线程都可以调用TerminateProcess来终止另一个进程或者它自己的进程。只有在无法通过其他方法来强制进程退出时才用。而且被终止的进程得不到自己要被终止的通知,也不能阻止自己被强行终止。

7.一旦进程终止,不管是如何终止的,系统会保证不留它的任何部分。绝对没有任何办法知道哪个进程是否运行过。进程在终止后绝对不会泄漏任何东西(内存会释放,文件会被关闭,内核对象计数会递减)。

8.TerminateProcess函数是异步的,函数返回时系统并不能保证进程已经被强行终止了。

9.如果一个进程中的所有线程都终止了(它们都调用了ExitThread或TerminateThread来终止了),操作系统就认为没有任何理由再保持进程的地址空间,就会终止这个进程,进程的退出代码会被设为最后一个终止的那个线程的退出代码。

10.一个进程终止时,系统会依次执行以下操作:

  • 终止进程中遗留的任何线程
  • 释放进程分配的所有用户对象和GDI对象,关闭所有内核对象(除非其他进程也打开了)
  • 进程的退出代码从STILL_ACTIVE变为传递给ExitProcess或TerminateProcess函数的代码。
  • 进程内核对象的状态变成已触发状态,这就是为什么系统中的其他线程可以挂起它们自己,直至另一个进程终止运行。
  • 进程内核对象的使用计数递减1。

原文地址:https://www.cnblogs.com/zoneofmine/p/8552162.html

时间: 2024-10-11 02:06:14

Windows Internals 笔记——终止进程的相关文章

Windows Internals 笔记——线程

1.进程有两个组成部分,一个进程内核对象和一个地址空间.线程也有两个组成部分: 一个是线程的内核对象,操作系统用它管理线程.系统还用内核对象来存放线程统计信息的地方. 一个线程栈,用于维护线程执行时所需的所有函数参数和局部变量. 2.线程要在其进程的地址空间内执行代码和处理数据,假如一个进程上下文中有两个以上的线程运行,这些线程将共享一个地址空间.这些线程可以执行同样的代码,可以处理相同的数据.此外,这些线程还共享内核对象句柄,因为句柄表是针对每一个进程的. 3.为一个进程创建一个虚拟的地址空间

C++windows内核编程笔记day13 进程、线程与信号量

Windows进程 进程是一个容器,包含程序执行需要的代码.数据.资源等信息, windows进程的特点: 每个进程都有自己的ID号 每个进程都有自己的地址空间,进程之间无法访问对方的地址空间. 每个进程都有自己的安全属性 每个进程至少包含一个线程. 获取和释放环境信息 GetEnvironmentStrings FreeEnvironmentStrings 获取或设置 本程序的环境变量 GetEnvironmentVariable SetEnvironmentVariable 示例: char

《coredump问题原理探究》Windows版 笔记

<coredump问题原理探究>Windows版 笔记 Debug 一.环境搭建 1.Win7捕获程序dump 2.Windbg符号表设置(Symbols Search Path) 二.WinDbg命令 三.函数栈帧 1.栈内存布局 2.栈溢出 3.栈的规律 4.定位栈溢出问题的经验方法 四.函数逆向 五.C内存布局 1.基本类型 2.数组类型 3.结构体 六.C++内存布局 1.类的内存布局 2.this指针 3.虚函数表及虚表指针 4.单继承 5.多继承(无公共基类) 七.STL容器内存布

操作系统概念学习笔记 8 进程

操作系统概念学习笔记 8 进程 概念 进程 进程是执行中的程序,这只是非正式的说法.进程不只是程序代码,程序代码称为文本段(代码段),还包括当前活动,通过程序计数器的值和处理器寄存器的内容来表示.此外,进程还包括进程堆栈段(临时数据.函数参数.局部变量.地址)和数据段(包括全全局变量.还可能包括堆(leap),是在进程运行期间动态分配内存. 程序是被动实体,如存储在磁盘上包含一系列指令的文件内容(可执行文件),而进程是一个活动实体,他有一个程序计数器来表示下一个要执行的命令和相关资源集合. 虽然

深入解析Windows操作系统笔记——CH1概念和术语

1.概念和工具 本章主要介绍Windows操作系统的关键概念和术语 1.概念和工具... 1 1.1操作系统版本... 1 1.2基础概念和术语... 2 1.2.1Windows API2 1.2.2 服务.函数和例程... 3 1.2.3 进程.线程和作业... 4 1.2.3.1 进程... 4 1.2.3.2 线程... 4 1.2.3.3 虚拟地址描述符... 4 1.2.3.4 作业... 4 1.2.4 虚拟内存... 5 1.2.5 内核模式和用户模式... 5 1.2.6 终端

Linux System Programming 学习笔记(五) 进程管理

1. 进程是unix系统中两个最重要的基础抽象之一(另一个是文件) A process is a running program A thread is the unit of activity inside of a process the virtualization of memory is associated with the process, the threads all share the same memory address space 2. pid The idle pro

windows下批量杀死进程

有时候由于病毒或其他原因,启动了一系列的进程,并且有时杀了这个,又多了那个.使用命令taskkill可将这些进程一下子全部杀光: C:\Users\NR>taskkill /F /im frontpg.exe 成功: 已终止进程 "FRONTPG.EXE",其 PID 为 3732. 成功: 已终止进程 "FRONTPG.EXE",其 PID 为 24544. 成功: 已终止进程 "FRONTPG.EXE",其 PID 为 3612. 错误

深入解析Windows操作系统笔记——CH3系统机制

3.系统机制 微软提供了一些基本组件让内核模式的组件使用: 1.陷阱分发,包括终端,延迟的过程调用(DPC),异步过程调用(APC),异常分发以及系统服务分发 2.执行体对象管理器 3.同步,包括自旋锁,内核分发器对象,以及等待是如何实现的. 4.系统辅助线程 5.其他的机制,比如Windows全局标记 6.本地过程调用 7.内核事件跟踪 8.Wow64 3.系统机制... 1 3.1陷阱分发... 3 3.1.1 中断分发... 4 3.1.1.1 硬件中断... 4 3.1.1.2 软中断请

计算机操作系统学习笔记_2_进程管理 --进程与线程(上)

h3.western { font-family: "Liberation Sans",sans-serif; }h3.cjk { font-family: "微软雅黑"; }h3.ctl { font-family: "AR PL UMing CN"; }h2.western { font-family: "Liberation Sans",sans-serif; font-size: 16pt; }h2.cjk { fon