Windows下父进程监视子进程状态

最近研究自动化测试，需要获取程序的运行状态及结果，下面是些参考资料。

原文地址：http://blog.csdn.net/ariesjzj/article/details/7226443

Linux下有功能强大ptrace，用于让父进程监视/修改/控制子进程的状态。Windows也提供了类似的接口，那就是Debuging API，用它可以编写用户级的调试器。

下面是一个例子，用以实现父进程创建并监视子进程运行状态。

1. #include <stddef.h>
2. #include <stdio.h>
3. #include <string.h>
4. #include <stdlib.h>
5. #include <stdint.h>
6. #include <assert.h>
7. #include <windows.h>
8. #define MAX_PARAM_LEN       4096
9. int main( int argc, char ** argv )
10. {
11. int i, j = 0, len;
12. char command_buf[MAX_PARAM_LEN];
13. STARTUPINFO si;
14. PROCESS_INFORMATION pi;
15. DEBUG_EVENT de;
16. BOOL stop = FALSE;
17. ZeroMemory( &si, sizeof(si) );
18. si.cb = sizeof(si);
19. ZeroMemory( &pi, sizeof(pi) );
20. if (argc<2) {
21. printf("Usage: %s <app_name> [arguments ...]\n", argv[0]);
22. return 0;
23. }
24. // Combine the module name and params into one string.
25. for (i = 1; i < argc; ++i) {
26. len = strlen(argv[i]);
27. if (len >= MAX_PARAM_LEN - j - 1) {
28. printf("buffer overflow\n");
29. exit(-1);
30. }
31. j += _snprintf(command_buf + j, MAX_PARAM_LEN - j, "%s ", argv[i]);
32. command_buf[j] = '\0';  // just for sure
33. }
34. if( !CreateProcess(NULL, command_buf, NULL, NULL, FALSE,
35. DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &si, &pi ) ) {
36. printf( "CreateProcess failed (%d).\n", GetLastError() );
37. exit(-1);
38. }
39. while (TRUE) {
40. WaitForDebugEvent (&de, INFINITE);
41. switch (de.dwDebugEventCode) {
42. case EXCEPTION_DEBUG_EVENT:         /* exception */
43. switch (de.u.Exception.ExceptionRecord.ExceptionCode) {
44. case   EXCEPTION_INT_DIVIDE_BY_ZERO:    /* #DE */
45. // Do what the parent process want to do when the child process gets #DE interrupt.
46. TerminateProcess(pi.hProcess,1);
47. break;
48. case   EXCEPTION_BREAKPOINT:            /* #BP */
49. // Do what the parent process want to do when the child process gets #BP interrupt.
50. break;
51. default:
52. printf("Unknown Exception\n");
53. break;
54. }
55. ContinueDebugEvent(de.dwProcessId,de.dwThreadId,DBG_EXCEPTION_HANDLED);
56. continue;
57. case CREATE_PROCESS_DEBUG_EVENT:        /* child process created */
58. // Do what the parent process want to do when the child process was created.
59. break;
60. case EXIT_PROCESS_DEBUG_EVENT:          /* child process exits */
61. stop = TRUE;
62. // Do what the parent process want to do when the child process exits.
63. break;
64. default:
65. printf("Unknown Event!\n");
66. break;
67. }
68. if (TRUE == stop) {
69. //printf("Process exit\n");
70. break;
71. }
72. ContinueDebugEvent (de.dwProcessId, de.dwThreadId, DBG_CONTINUE);
73. } // end of loop
74. assert(stop);
75. CloseHandle( pi.hProcess );
76. CloseHandle( pi.hThread );
77. return 0;
78. }

程序参数为要监视的子进程及子进程的参数。注意一个正常的进程被创建出来后会先后收到CREATE_PROCESS_DEBUG_EVENT, EXCEPTION_DEBUG_EVENT中的EXCEPTION_BREAKPOINT和EXIT_PROCESS_DEBUG_EVENT。所以如果你不想子进程创建起来就出错，那就让处理断点的分支跳去执行ContinueDebugEvent(..., DBG_EXCEPTION_HANDLED)。

例子仅含框架，如要attach到已有进程请参见DebugActiveProcess，要修改子进程状态请参见RriteProcessMemory和WriteProcessMemory等函数。

一些参考资料：

Debugging API examples: http://www.debuginfo.com/examples/dbgexamples.html

Writing the Debugger's Main Loop: http://msdn.microsoft.com/en-us/library/windows/desktop/ms681675(v=vs.85).aspx

Using the Windows Debugging API: http://www.howzatt.demon.co.uk/articles/SimpleDebugger.html

Debugging Functions: http://msdn.microsoft.com/en-us/library/ms679303

Win32调试API:http://hi.baidu.com/combojiang/blog/item/efb56e8ff0ebbfebf11f3654.html

利用Win32 Debug API打造自己的Debugger: http://hi.baidu.com/olhack/blog/item/c1e896508250e86284352407.html

The Debugging Application Programming Interface: http://msdn.microsoft.com/en-us/library/ms809754.aspx

在主进程中捕获子进程的异常:http://blog.csdn.net/simbi/article/details/3705719

Windows Debugging API: http://my.safaribooksonline.com/book/networking/intrusion-detection/9780321446114/in-memory-fuzzing-automation/ch20lev1sec3