检测“暂停”的 Windows 8/10 进程

Question

Windows 8/10 中的 UWP（或“Metro”）应用程序不在前台时可以暂停。此状态下的应用程序继续存在，但不再消耗 CPU 时间。似乎引入此更改是为了提高平板电脑和手机等低功耗/存储设备的性能。

在这种状态下检测进程的最优雅和最简单的方法是什么？

目前我可以看到两种可能的解决方案：

1. 调用 NtQuerySystemInformation() 并枚举每个进程和每个线程。如果所有线程都处于挂起状态，则进程被“挂起”。这种方法需要大量代码，关键是 NtQuerySystemInformation() 只是半文档化的，可以在未来的操作系统中删除。NtQueryInformationProcess() 也可以针对同样的问题提供类似的解决方案。

2. 调用 GetProcessTimes() 并记录每个进程的计数器。等待较长时间（分钟）并再次检查。如果进程计数器没有改变，则假定进程已挂起。我承认这是一个黑客，但如果时间段足够长，也许可以工作。

有没有更优雅的方式？

Answer 1

对于这个存在PROCESS_EXTENDED_BASIC_INFORMATION- 在这个答案中描述的标志的含义。你需要IsFrozen旗帜。因此，您需要具有PROCESS_QUERY_LIMITED_INFORMATION访问权限的开放进程（要对所有进程执行此操作，您需要SE_DEBUG_PRIVILEGE在令牌中启用）。并NtQuerySystemInformation使用ProcessBasicInformation和PROCESS_EXTENDED_BASIC_INFORMATION作为输入调用。对于列举的所有进程，我们可以使用NtQuerySystemInformation用SystemProcessInformation。当然可能和使用CreateToolhelp32Snapshot+ Process32First+ Process32Next，但这个API非常没有效率的，比较直接调用NtQuerySystemInformation

也可以枚举进程中的所有线程并检查它的状态，如果状态等待 - 等待原因。这很容易，因为所有这些信息都已经通过对NtQuerySystemInformationwith的一次调用返回了SystemProcessInformation。有了这个，我们不需要开放流程。通常这两种方式都会给出相同的结果（对于暂停/冻结）过程，但是使用IsFrozen是最正确的解决方案。

void PrintSuspended()
{
    BOOLEAN b;
    RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, &b);

    ULONG cb = 0x1000;
    NTSTATUS status;
    do 
    {
        status = STATUS_INSUFFICIENT_RESOURCES;

        if (PBYTE buf = new BYTE[cb])
        {
            if (0 <= (status = NtQuerySystemInformation(SystemProcessInformation, buf, cb, &cb)))
            {
                union {
                    PBYTE pb;
                    SYSTEM_PROCESS_INFORMATION* spi;
                };

                pb = buf;

                ULONG NextEntryOffset = 0;
                do 
                {
                    pb += NextEntryOffset;

                    if (!spi->UniqueProcessId)
                    {
                        continue;
                    }

                    if (HANDLE hProcess = OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION, FALSE, 
                        (ULONG)(ULONG_PTR)spi->UniqueProcessId))
                    {
                        PROCESS_EXTENDED_BASIC_INFORMATION pebi;
                        if (0 <= NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pebi, sizeof(pebi), 0) &&
                            pebi.Size >= sizeof(pebi))
                        {
                            if (pebi.IsFrozen)
                            {
                                DbgPrint("f:%x %wZ\n", spi->UniqueProcessId, spi->ImageName);
                            }
                        }
                        CloseHandle(hProcess);
                    }

                    if (ULONG NumberOfThreads = spi->NumberOfThreads)
                    {
                        SYSTEM_THREAD_INFORMATION* TH = spi->TH;
                        do 
                        {
                            if (TH->ThreadState != StateWait || TH->WaitReason != Suspended)
                            {
                                break;
                            }
                        } while (TH++, --NumberOfThreads);

                        if (!NumberOfThreads)
                        {
                            DbgPrint("s:%x %wZ\n", spi->UniqueProcessId, spi->ImageName);
                        }
                    }

                } while (NextEntryOffset = spi->NextEntryOffset);
            }
            delete [] buf;
        }
    } while (status == STATUS_INFO_LENGTH_MISMATCH);
}