学过windows程序设计的人都知道,windows中的进程是可以有父子关系的,拥有父子关系的进程,一旦父进程结束,子进程有会随之退出。但是如果进程之间没有父子关系,我们如何让子进程在父进程退出是也同时跟着退出呢?方法有很多,本文介绍其中的一种利用父进程ID的方案,实现的原理很简单:先获取父进程的ID,然后通过ID来获取父进程Handle,通过监视父进程的Handle来决定子进程是否退出。所以,这里的关键就是如何获取父进程的ID。
为了获取父进程ID,这里需要用到一个微软未公开的API:
NTSTATUS WINAPI NtQueryInformationProcess( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out PVOID ProcessInformation, __in ULONG ProcessInformationLength, __out_opt PULONG ReturnLength );
这个API位于Ntdll.dll里面,通过引用头文件winternl.h来获取相关的类型定义。当我们得到这个函数后,下一步就需要去了解各个函数参数的意义了,这里我们重点看一下第二个参数 PROCESSINFOCLASS结构体的内容:
typedef struct _PROCESS_BASIC_INFORMATION {
PVOID Reserved1;
PPEB PebBaseAddress;
PVOID Reserved2[2];
ULONG_PTR UniqueProcessId;
PVOID Reserved3;
} PROCESS_BASIC_INFORMATION;
这是MSDN里给出的结构体定义。到目前为止,我们还是不知道Parent进程的ID从哪里取。正所谓,天下没有不透风的墙,经过无数高手的破解,实际上最后一个字段Reserved3就是Parent进程的ID,只要我们将它转换为一个DWORD值即可。
经过在x86和x64的windows2003和windows20008平台上的测试,的确是Parent进程的ID。
既然知道了Parent进程的ID出处,接下来就好办了, 基本步骤如下:
1. 先获取自己的进程ID,GetCurrentProcessID()
2. 获取进程查询句柄,调用OpenProcess()带上PROCESS_QUERY_INFORMATION标志
3. 调用NtQueryInformationProcess()来查询进程信息
4. 获取父进程句柄,还是调用OpenProcess()
5. 启动一个线程去等待父进程退出,WaitForSingleObject(ParentHandle, INFINITE)
大功告成,这样无论是父进程正常退出,还是异常终止,子进程都能被退出。
