检测进程/线程是否被挂起/暂停

泆寒

初来贵地.手下留情.

版面上看了个精华,感觉处理的方式欠妥。故此分享一下。

IsHungAppWindow

SendMessageTimeout

上面两函数就不多介绍了,字面上就看明白了.

两者都是基于窗口句柄的.要检测是否挂起/暂停.最好的方式是通过窗口所在线程的状态值去判断.而不是通过等待窗口响应去判断这个进程/线程是否被挂起.

代码通过NtQuerySystemInformation的5号功能SystemProcessesAndThreadsInformation获取其线程的状态值.

  

子程序名	返回值类型	公开	备 注
检测进程主线程是否被挂起	逻辑型
参数名	类 型	参考	可空	数组	备 注
进程ID	整数型

返回 (检测过程 (进程ID))

子程序名	返回值类型	公开	备 注
检测窗口线程是否被挂起	逻辑型
参数名	类 型	参考	可空	数组	备 注
窗口句柄	整数型

变量名	类 型	静态	数组	备 注
pid	整数型
tid	整数型

tid ＝ GetWindowThreadProcessId (窗口句柄, pid)
返回 (检测过程 (pid, tid))

子程序名	返回值类型	公开	备 注
检测过程	逻辑型
参数名	类 型	参考	可空	数组	备 注
pid	整数型
tid	整数型

变量名	类 型	静态	数组	备 注
buf	字节集
len	整数型
ret	整数型
lpbuf	整数型
offset	整数型
count	整数型
i	整数型

NtQuerySystemInformation (5, buf, 0, len)  ' //SystemProcessesAndThreadsInformation
buf ＝ 取空白字节集 (len)
ret ＝ NtQuerySystemInformation (5, buf, len, 0)
如果真 (ret ＝ 0)
lpbuf ＝ 取指针_字节集型 (buf)
offset ＝ 指针到整数 (lpbuf)
判断循环首 (offset ≠ 0)
如果真 (指针到整数 (lpbuf ＋ 68) ＝ pid)  ' //pid
count ＝ 指针到整数 (lpbuf ＋ 4)  ' //count of thread
lpbuf ＝ lpbuf ＋ 184  ' //SYSTEM_THREADS offset
计次循环首 (count, i)
如果真 (i ＝ 1)
如果真 (是否为空 (tid))  ' //只检测主线程，检测全部的话就是进程是否被挂起了.
返回 (指针到整数 (lpbuf ＋ 56) ＝ 5)  ' //KWAIT_REASON

如果真 (指针到整数 (lpbuf ＋ 36) ＝ tid)
返回 (指针到整数 (lpbuf ＋ 56) ＝ 5)
lpbuf ＝ lpbuf ＋ 64  ' //size of SYSTEM_THREADS struct
计次循环尾 ()
跳出循环 ()
offset ＝ 指针到整数 (lpbuf)  ' //NextEntryDelta
lpbuf ＝ lpbuf ＋ offset
判断循环尾 ()
返回 (假)

子程序名	返回值类型	公开	备 注
取指针_字节集型	整数型
参数名	类 型	参考	可空	数组	备 注
字节集	字节集

置入代码 ({ 139, 69, 8, 139, 0, 133, 192, 15, 132, 3, 0, 0, 0, 131, 192, 8, 201, 194, 4, 0 })
返回 (0)

子程序名	返回值类型	公开	备 注
指针到整数	整数型
参数名	类 型	参考	可空	数组	备 注
指针	整数型

置入代码 ({ 139, 69, 8, 139, 0, 201, 194, 4, 0 })
返回 (0)

.版本 2<br /> <br /> .子程序 检测进程主线程是否被挂起, 逻辑型<br /> .参数 进程ID, 整数型<br /> <br /> 返回 (检测过程 (进程ID))<br /> <br /> .子程序 检测窗口线程是否被挂起, 逻辑型<br /> .参数 窗口句柄, 整数型<br /> .局部变量 pid, 整数型<br /> .局部变量 tid, 整数型<br /> <br /> tid ＝ GetWindowThreadProcessId (窗口句柄, pid)<br /> 返回 (检测过程 (pid, tid))<br /> <br /> .子程序 检测过程, 逻辑型<br /> .参数 pid, 整数型<br /> .参数 tid, 整数型, 可空<br /> .局部变量 buf, 字节集<br /> .局部变量 len, 整数型<br /> .局部变量 ret, 整数型<br /> .局部变量 lpbuf, 整数型<br /> .局部变量 offset, 整数型<br /> .局部变量 count, 整数型<br /> .局部变量 i, 整数型<br /> <br /> NtQuerySystemInformation (5, buf, 0, len)  ' //SystemProcessesAndThreadsInformation<br /> buf ＝ 取空白字节集 (len)<br /> ret ＝ NtQuerySystemInformation (5, buf, len, 0)<br /> .如果真 (ret ＝ 0)<br />     lpbuf ＝ 取指针_字节集型 (buf)<br />     offset ＝ 指针到整数 (lpbuf)<br />     .判断循环首 (offset ≠ 0)<br />         .如果真 (指针到整数 (lpbuf ＋ 68) ＝ pid)  ' //pid<br />             count ＝ 指针到整数 (lpbuf ＋ 4)  ' //count of thread<br />             lpbuf ＝ lpbuf ＋ 184  ' //SYSTEM_THREADS offset<br />             .计次循环首 (count, i)<br />                 .如果真 (i ＝ 1)<br />                     .如果真 (是否为空 (tid))  ' //只检测主线程，检测全部的话就是进程是否被挂起了.<br />                         返回 (指针到整数 (lpbuf ＋ 56) ＝ 5)  ' //KWAIT_REASON<br />                     .如果真结束<br /> <br />                 .如果真结束<br />                 .如果真 (指针到整数 (lpbuf ＋ 36) ＝ tid)<br />                     返回 (指针到整数 (lpbuf ＋ 56) ＝ 5)<br />                 .如果真结束<br />                 lpbuf ＝ lpbuf ＋ 64  ' //size of SYSTEM_THREADS struct<br />             .计次循环尾 ()<br />             跳出循环 ()<br />         .如果真结束<br />         offset ＝ 指针到整数 (lpbuf)  ' //NextEntryDelta<br />         lpbuf ＝ lpbuf ＋ offset<br />     .判断循环尾 ()<br /> .如果真结束<br /> 返回 (假)<br /> <br /> .子程序 取指针_字节集型, 整数型<br /> .参数 字节集, 字节集, 参考<br /> <br /> 置入代码 ({ 139, 69, 8, 139, 0, 133, 192, 15, 132, 3, 0, 0, 0, 131, 192, 8, 201, 194, 4, 0 })<br /> 返回 (0)<br /> <br /> .子程序 指针到整数, 整数型<br /> .参数 指针, 整数型<br /> <br /> 置入代码 ({ 139, 69, 8, 139, 0, 201, 194, 4, 0 })<br /> 返回 (0)

lxn2wyf

哦哟，这方法挺新鲜呢，我之前没用过，感觉挺有料的，多谢分享啊！

XJxaiojing

666666666666666

likai123

正好需要

qw1212ss

2025.1.5测试不行， 无论挂起还是启动状态，都返回假

yuzhong

1111111111111111111111111111111111111

lm88818

支持开源~！感谢分享！

because2001

buf类型错误,这个函数第二个参数是整数型啊

lm88818

支持开源~！感谢分享

蛙牛

这个支持以下 也许能用到

自然卷。

可以检测自身吗?