Muss ein Prozess vor dem Beenden angehalten werden?

Was passiert, wenn ein Prozess in Windows vom Process Explorer oder einer ähnlichen Software (z. B. Process Hacker) angehalten wird? Ich habe irgendwo im Internet gelesen, dass die Autoren von Sysinternals empfehlen, den Prozess zunächst anzuhalten, bevor er beendet wird.

Gibt es einen Unterschied, wenn ich den Prozess stattdessen direkt beende?

Nein, es ist nicht notwendig. Wenn auf Ihrem System jedoch Malware vorhanden ist, die mehrere Prozesse verwendet, die als Wachhund füreinander fungieren, würden Sie sie zunächst alle aussetzen, bevor Sie sie beenden.

Im Prozess-Explorer wird der Prozess mithilfe des NtSuspendProcessSystemaufrufs angehalten . Auf dieser Seite finden Sie einige andere mögliche Methoden.

Es spielt keine Rolle, ob ein Prozess zum Zeitpunkt der Beendigung angehalten wird oder ausgeführt wird. In beiden Fällen wird die TerminateProcessWin32-API verwendet, sodass keine Möglichkeit zur Bereinigung besteht.