间谍是如何做到的？构建其进程列表？

Question

TL;DR - Spy++ 工具如何真正构建其进程列表？

阶段

我们有一个 MFC 桌面应用程序（在 Windows XP 上运行），该应用程序处于挂起状态，不再对任何用户输入做出反应。然而，当通过 alt-tab 切换到它时，它会被重绘。 （它确实收到 WM_SETFOCUS、WM_ACTIVATE 等。它显然没有收到任何鼠标或键盘消息。）

由于应用程序处于某种不确定状态，我们拉出了一些进程转储，但到目前为止这些没有什么帮助。输入：

Spy++

我们使用 Spy++ 来查找我上面提供的信息该应用程序似乎正在处理的窗口消息。我们通过打开 Windows 视图 并选择我们的应用程序窗口，并在消息属性中选择 同一进程的 Windows 和 Messages to查看：全选。

但是我们首先尝试通过打开 Spy++ 的进程视图 Spy++ 和我们的应用程序未在此进程中显示列表。在另一台运行正常的PC上进行交叉检查，该进程也正常显示在Spy++的进程列表中。

是否可以从进程未显示在 Spy++ 的进程视图中，但应用程序的主窗口显示在 Windows 视图中的事实中推断出有关行为不当的应用程序的任何信息。 为什么主窗口可见的进程不会显示在 Spy++ 的进程视图中？

该进程列在任务管理器和 Visual Studio 2005 的附加进程窗口中。因此，这些工具显然使用列出进程的方法与 Spy++ 不同...？

该应用程序当前挂起的系统是Windows XP SP2 系统，我们使用了Visual Studio 2005 附带的Spy++ 实用程序。

该行为偶尔会重复发生，但仅在该应用程序运行几天后才会发生！

Answer 1

运行 Vista 或更高版本？您的进程可能会被提升，而 Spy++ 则不会。较新版本的 Spy++ 需要提升。因此，尝试显式提升 Spy++ 并看看是否有帮助。

Answer 2

是的，当然可以由此推断出一些事情。不要太认真地对待我在这种情况下所说的任何事情，我必须去看看代码。但我相信 Spy 会查看 EnumProcesses API。 （http://msdn.microsoft.com/en-us/library/ms682629.aspx）

所以，如果您的进程没有显示在那里......嗯。

但是，运行的系统和不运行的系统有什么不同呢？

Answer 3

Spy++ 需要禁用注册表中的以下两个值 (0) 才能完全显示进程/线程列表：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
HKLM\System\CurrentControlSet\Services\PerfProc\Performance

    Disable Performance Counters -> either 0 or not present

试图找出它拒绝显示它们的原因正变得疯狂。这是某种糟糕的笑话 - 这个调试器需要本身有一个调试器才能使其工作！ WinDBG 不会显示任何有意义的信息，MS 甚至不在其符号服务器上提供符号文件 pfft。

无论如何，也许它不会显示禁用性能计数器的进程，因为我认为，这可以单独设置，至少对于服务而言，例如：

HKLM\SYSTEM\CurrentControlSet\Services\.NET CLR Networking\Performance

    Disable Performance Counters

所以它基本上始终是“性能”子项的值。所有这些东西都没有记录，它使用 advapi32.dll 函数，如“PerfRegQueryValue”和“PerfRegQueryInfoKey”...不要问我。