Может кто замечал когда зависает программа в windows начиная с 8.1, то Windows создаёт ещё один процесс с таким же именем но не имеющий никаких потоков.
Есть ли где-нибудь документация этого дела ?

Здравствуйте, _NN_, Вы писали:

_NN>Может кто замечал когда зависает программа в windows начиная с 8.1, то Windows создаёт ещё один процесс с таким же именем но не имеющий никаких потоков.
_NN>Есть ли где-нибудь документация этого дела ?

Подозреваю, что это Window Ghosting называется, и никакие процессы не документированы, есть только документация для функции DisableProcessWindowsGhosting.

(А процесса, наверное, никакого и нет, это Task Manager так его показывает только, потому что какой процесс без потоков)

Здравствуйте, Alexander G, Вы писали:

AG>Подозреваю, что это Window Ghosting называется, и никакие процессы не документированы, есть только документация для функции DisableProcessWindowsGhosting.
Есть подозрение, что это другой механизм.

AG>(А процесса, наверное, никакого и нет, это Task Manager так его показывает только, потому что какой процесс без потоков)
Процесс есть.
У него есть PID и можно посмотреть через Process Explorer.

Здравствуйте, _NN_, Вы писали:

_NN>Может кто замечал когда зависает программа в windows начиная с 8.1, то Windows создаёт ещё один процесс с таким же именем но не имеющий никаких потоков.
_NN>Есть ли где-нибудь документация этого дела ?

В книжке Windows Internals 7 этот механизм описывается в разделе Process Reflection (см. ntdll!RtlCreateProcessReflection). Если коротко, то при наличии проблем с некоторым процессом в него внедряется нить, которая вызывает ntdll!RtlCloneUserProcess, которая и клонирует адресное пространство проблемного процесса. После чего новый процесс может быть использован для создания дампа.

Здравствуйте, EreTIk, Вы писали:

ETI>В книжке Windows Internals 7 этот механизм описывается в разделе Process Reflection (см. ntdll!RtlCreateProcessReflection). Если коротко, то при наличии проблем с некоторым процессом в него внедряется нить, которая вызывает ntdll!RtlCloneUserProcess, которая и клонирует адресное пространство проблемного процесса. После чего новый процесс может быть использован для создания дампа.

Спасибо за наводку, почитал раздел.
Не зря книгу заказал как только вышла

Есть ещё Process Snapshotting кстати: https://msdn.microsoft.com/en-us/library/dn469412(v=vs.85).aspx

Здравствуйте, _NN_, Вы писали:

_NN>...
_NN>Не зря книгу заказал как только вышла

Offtop

А есть где-нибудь "Windows Internals 7th Edition" в электронном виде?
Microsoft Press предлагает купить eBook за $20, но я за несколько попыток так и
не смог пройти "квест" на их сайте, все время выбрасывает на страницу с ошибкой...

Здравствуйте, okman, Вы писали:

O>Здравствуйте, _NN_, Вы писали:

_NN>>...
_NN>>Не зря книгу заказал как только вышла

O>Offtop

O>А есть где-нибудь "Windows Internals 7th Edition" в электронном виде?
O>Microsoft Press предлагает купить eBook за $20, но я за несколько попыток так и
Эта которая тут ?
https://www.microsoftpressstore.com/store/windows-internals-part-1-system-architecture-processes-9780735684188
Может стоит им написать в поддержку (в самом низу почта)

O>не смог пройти "квест" на их сайте, все время выбрасывает на страницу с ошибкой...
Есть также вариант Kindle за 31$: https://www.amazon.com/Windows-Internals-Part-architecture-management-ebook/dp/B0711FDMRR/ref=mt_kindle

Здравствуйте, _NN_, Вы писали:

Обратились мы в MS разузнать побольше.
Как оказалось это недокументированное поведение Windows Error Reporting как и предполагалось изначально.