PEB在windows中存储进程的信息。 当进程结束时它是否仍然存储它?
答案 0 :(得分:2)
这是一个进程内数据结构。没有更多的过程==没有更多的PEB。
CreateProcess返回的进程句柄引用内核数据结构,只要您不关闭句柄,它就会保持不变,即使在进程终止后也是如此。在该句柄上调用WaitForSingleObject()会告诉您进程何时退出。 GetExitProcessCode()告诉你它是如何退出的。
答案 1 :(得分:0)
不,PEB仅保留有关当前正在运行的进程的信息。您可以在此处阅读有关PEB的更多信息:http://en.wikipedia.org/wiki/Process_Environment_Block
AFAIK在Windows操作系统中没有这样的块来保存已终止进程的数据