在 Windows 7 中成功 SuspendThread 后 GetThreadContext 失败

Question

我在 Windows 7 中的采样分析器上遇到了一个奇怪的问题（AFAICT 在以前的 Windows 操作系统上没有此类问题，无论是 32 位还是 64 位）。

探查器的工作原理是定期使用 SuspendThread，然后使用 GetThreadContext，在调用 ResumeThread 重新启动该进程。所有这些都是在多媒体计时器线程的上下文中完成的（为了精确起见，频率约为 1kHZ，这在 Windows 7 之前的操作系统上通常会产生可以忽略不计的性能损失）。

在 Windows 7 和仅 Windows 7 下，即使对 SuspendThread（和 ResumeThread）的调用全部成功，对 GetThreadContext 的调用也会失败并出现错误:

ERROR_NOACCESS
998（0x3E6）
对内存位置的访问无效。

可能性非常高，尽管并非总是如此。

我的意思是，对于某些分析运行，一切都会像在其他操作系统上一样工作（所有 GetThreadContext 调用都会成功），但对于其他运行，它们几乎都会失败（可能会保存一打） ，千分之几）。它发生在完全相同的二进制文件、相同的参数上。

我已经尝试过针对看起来模糊相似的问题的建议来重复 GetThreadContext 调用，但没有取得更多成功。我还尝试在 SuspendThread 和 GetThreadContext 之间执行 Sleep，然后 GetThreadContext 更频繁地成功，不过它会导致速度急剧下降。

然而，它表明 Windows 7 操作系统正在从 SuspendThread 返回，而线程可能尚未暂停 - 不过，如果是这种情况，我不知道如何或是否正确等待暂停，在线程中循环并敲击 GetThreadContext 不会执行此操作。

编辑：16字节对齐

Answer 1

查看 GetThreadContext 函数，它提到

CONTEXT 结构是高度处理器特定的。请参阅 WinNt.h 头文件，了解该结构的处理器特定定义以及任何对齐要求。

查看此文件，_CONTEXT 是用 声明的

typedef struct DECLSPEC_ALIGN(16) _CONTEXT {
...

，因此可能是对齐问题。