我把这个贴在这里，因为我发现了一些可以解决这个问题的东西。我自己也在调查，我相信我已经找到了解决办法。在

我不能给你节选或总结，因为太多了，我两小时前才找到的。我把这个贴在这里是为了其他人，像我一样，想“轻松”在windows中生成一个适当的子进程，但却想执行一个布谷鸟。；）

整个第二章很重要，但具体细节从第12页开始。在

http://lsd-pl.net/winasm.pdf

我希望它能像帮助我一样帮助别人。在

编辑：

我想我可以再加些。根据我收集到的信息，这个文档是否解释了如何产生一个永远不会执行的休眠进程。这样我们就有一个正确设置的windows进程在运行。然后说明通过使用win32api函数VirtualAllocEx和WriteProcessMemory，我们可以很容易地分配可执行页面并将机器代码注入到另一个进程中。在

然后-在我看来最好的部分-可以更改进程的寄存器，允许程序员将指令指针更改为指向布谷鸟！在

太棒了！在

我发现了一种更快的方法；不幸的是，它依赖于一个没有文档的API，NtResumeProcess。这就像它听起来的那样-接受一个进程句柄，并将ResumeThread的等价物应用于进程中的每个线程。Python/ctypes使用它的代码类似于

import ctypes
from ctypes.wintypes import HANDLE, LONG, ULONG

ntdll = ctypes.WinDLL("ntdll.dll")
RtlNtStatusToDosError = ntdll.RtlNtStatusToDosError
NtResumeProcess = ntdll.NtResumeProcess

def errcheck_ntstatus(status, *etc):
   if status < 0: raise ctypes.WinError(RtlNtStatusToDosError(status))
   return status

RtlNtStatusToDosError.argtypes = (LONG,)
RtlNtStatusToDosError.restype  = ULONG
# RtlNtStatusToDosError cannot fail

NtResumeProcess.argtypes = (HANDLE,)
NtResumeProcess.restype  = LONG
NtResumeProcess.errcheck = errcheck_ntstatus

def resume_subprocess(proc):
    NtResumeProcess(int(proc._handle))

我在一台闲置的windows7虚拟机上测量到，使用这种技术的进程设置开销比使用Toolhelp要少20%。正如所期望的，在Toolhelp的工作方式下，性能增量随着系统上线程的增多而变大，不管它们是否与所讨论的程序有关。在

鉴于NtResumeProcess及其对应的{}的明显的通用性，我想知道为什么它们从未被记录下来，也没有被赋予kernel32包装器。它们被一些核心系统DLL和EXE所使用，所有这些DLL和EXE都是Windows错误报告机制的一部分（faultrep.dll，werui.dll，werfault.exe，dwwin.exe等）的一部分，并且似乎不会在文档名称下重新公开功能。这些函数似乎不太可能在不更改名称的情况下改变其语义，但应该准备一个防御性编码的程序来让它们消失（我想应该回到toolhelp）。在