Что происходит, когда процесс в Windows приостанавливается с помощью Process Explorer или аналогичного программного обеспечения (например, Process Hacker)? Я где-то читал в Интернете, что авторы Sysinternals рекомендуют сначала приостановить процесс, прежде чем завершить его.
Есть ли какая-либо разница, если я прекратить процесс напрямую?
Нет, это не обязательно. Однако, если в вашей системе есть вредоносное ПО, использующее несколько процессов, которые действуют как сторожевые таймеры друг для друга, вы должны сначала приостановить их все, а затем завершить работу любого из них.
В Process Explorer процесс приостанавливается с помощью NtSuspendProcess вызова NtSuspendProcess. Смотрите эту страницу для нескольких других возможных методов.
Нет разницы, приостановлен ли процесс или запущен в момент его завершения - в обоих случаях используется Win32 API TerminateProcess , который не дает возможности для очистки.
