Job
定义
Windows提供了一个作业(job)内核对象,它允许我们将进程组合在一起并创建一个“沙箱”来限制进程能够做什么。最好将作业对象想象成一个进程容器。但是创建只包含一个进程的作业同样非常有用,因为这样可以对进程施加平时不能施加的限制。
Job(作业),也就是进程组的概念,添加进同一个作业的进程能够通过作业内核对象来集中控制,设置一些额外的属性等。添加进一个作业就不能再移出。
验证当前进程是否在一个现有的作业控制之下
IsProcessInJob
BOOL IsProcessInJob( HANDLE hProcess, HANDLE hJob, PBOOL pbInJob);
使用:IsProcessInJob(GetCurrentProcess(),NULL,&bInJob);
如果bInJob==True 则在当前作业控制之下
创建一个作业,返回一个作业内核对象
CreateJobObject
HANDLE CreateJobObject( PSECURITY_ATTRIBUTES psa, PCTSTR pszName);
psa:安全属性
pszName:对此作业对象进行命名,使其能够由另一个进程通过OpenJobObject函数进行访问
访问打开Job
HANDLE OpenJobObject( DWORD dwDesiredAccess, BOOL bInheritHandles, LPCTSTR lpName );
dwDesiredAccess:一般可以写JOB_OBJECT_ALL_ACCESS就可以,若有特殊需求,需要查看msdn
bInheritHandles:是否可以被继承,若不想该句柄被继承就写false,否则写true
lpName:作业对象的名称
返回值,若成功返回作业对象的句柄,否则返回NULL
但是,已经命名的作业对象不能使用CloseHandle关闭其句柄,一旦关闭,虽然作业对象还在,但是你命名的名字会与作业对象失去联系。
调用CloseHandle关闭作业后实际上并不中止作业内的所有的进程,只是作了删除标记,只有当作业中的所有进程中止后,才撤销作业,注意,关闭作业句柄后虽然作业存在,但是作业将无法访问
示例:
HANDLE hJob=CreateJobObject(NULL,TEXT("tian")); //Create a named job object AssignProcessToJobObject(hJob,GetCurrentProcess()); //put our own process in job CloseHandle(hJob); //close the job hJob=OpenJobObject(JOB_OBJECT_ALL_ACCESS,FALSE,TEXT("tian")); //open the exitint job
对作业中的进程施加限制
进程创建后,通常需要设置一个沙框(设置一些限制) ,以便限制作业中的进程能够进行的操作。可以给一个作业加上若干不同类型的限制:
• 基本限制和扩展基本限制,用于防止作业中的进程垄断系统的资源。
• 基本的U I限制,用于防止作业中的进程改变用户界面。
• 安全性限制,用于防止作业中的进程访问保密资源(文件、注册表子关键字等) 。
施加限制
BOOL SetInformationJobObject( HANDLE hJob, JOBOBJECTINFOCLASS JobObjectInformationClass, PVOID pJobObjectInformation, DWORD cbJobObjectInformationSize);
hJob: 要限制的作业
JobObjectInformationClass:枚举类型,制定要施加到限制类型
pJobObjectInformation:数据结构地址,具体到限制设置
cbJobObjectInformationSize:数据结构大小
将进程放到作业中
我们在将进程放入作业中时,常常调用CreateProcess来创建进程,且传入CREATE_SUSPENDED标志,暂时挂起进程。
注意:如果允许子进程立即开始执行代码,它会逃离我们的“沙箱”,成功地做些我们禁止它做的事情。所以,在创建子进程且允许它运行之前,必须调用一下函数,将进程显示地放入新建的作业中:
BOOL AssignProcessToJobObject( HANDLE hJob, HANDLE hProcess);
这个函数将向系统表明将此进程当作现有作业的一部分。注意,这个函数只允许将尚未分配给任何作业的一个进程分配给一个作业。一旦一个进程分配到一个作业中,它就不能分配到其他作业中。
在调用了 AssignProcessToJobObject之后,再调用ResumeThread,使进程的线程可以在作业的限制下执行代码。
终止作业中所有线程
BOOL TerminateJobObject( HANDLE hJob, UINT uExitCode);
hJob:终止的作业
uExitCode:所有作业内的进程退出的终止码
这类似于为作业内的每一个进程调用TerminateProcess,将所有退出代码设为uExitCode。
作业通知
如果只是关心所分配的CPU时间是否已经过期,那么可以非常简单的获得这个通知,作业中进程如果还没有用完已分配的CPU时间,作业就处于未触发的状态,一旦作业用完所分配的时间windows就会强行杀死作业中所有的进程,触发作业对象
WaitForSingleObject()可以轻松捕获这个事件
JobLab 示例
总结
- vista以上,通过任务管理器创建的进程,都被添加进了一个独立的作业;从命令行(cmd)创建的进程则不然。
- 能够对作业添加的限制:
- 基本限制(限制进程时间、优先级、物理内存占用等)、
- 扩展限制(基础限制之上,还能限制内存使用总量,以及查看峰值内存使用)、
- ui限制(限制关机/重启、访问剪切板、切换桌面、改变显示器设置、访问作业外进程的句柄等)、
- 安全限制(安全限制一旦设置,则不能修改)。setinformationjobobject、queryinformationjobobject用于设置和查询限制。
- 父进程位于某一作业中,子进程创建后也自动加入同一作业。除非作业的基本限制中包含job_object_limit_breakaway_ok(允许进程时脱离作业),并且createprocess时指定create_breakaway_from_job标记。
- terminatejobobject强制结束作业,同时结束作业内所有进程(等价于对作业内每个进程调terminateprocess)。
- queryinformationjobobject除了查看作业限制外,也可以查看作业信息,包括总进程数、活跃进程数、总时间、总io次数、进程id列表等。
- 作业结束后(所有内部进程结束),内核对象处于激活态,waitforsingleobject返回。
7.作业通知机制:将作业对象和io完成端口绑定,作业中的事件(进程结束、时间到期、内存达到限制等)将通过完成端口事件来通知。
