Почему система не может отправить в гибернацию только один процесс?

Это перевод Why can't the system hibernate just one process? Автор: Реймонд Чен.

Windows позволяет вам отправить в гибернацию (hibernate) машину целиком, но почему нельзя сделать это только для одного процесса? Сохранить состояние процесса и возобновить его позднее.

Потому что в системе есть состояния, которые не являются частью процесса.

Например, предположим, что ваша программа владеет мьютексом (mutex), а потом её гибернируют. Опс, теперь мьютекс оставлен (abandoned) и его можно взять себе. Если мьютекс защищал какое-то состояние, то, когда процесс восстанавливается из гибернации, он думает, что всё ещё владеет мьютексом, поэтому считает безопасным использовать защищаемое состояние. Хотя на самом деле он уже не владеет мьютексом и только портит состояние.

Представьте любой код, который делает примерно следующее:

  // Предположим, что hmtx - это дескриптор мьютекса,
  // который защищает какой-то общий объект G
  WaitForSingleObject(hmtx, INFINITE);
  // работаем с G
  ...
  // всё ещё работаем с G,
  // считая, что G никто больше не трогал.
  ReleaseMutex(hmtx);

Никто же не ожидает, что мьютекс может быть секретно освобождён в процессе выполнения "..." (а именно это случится, если процесс отправят в гибернацию). Это противоречит самой сути мьютексов!

Рассмотрим, в качестве еще одного примера, случай, когда у вас есть файл, который был открыт для исключительного доступа. Программа будет счастливо работать с предположением, что никто не сможет изменить этот файл за исключением самой программы. Но если процесс гибернируется, то какой-то другой процесс теперь может открыть файл (эксклюзивного владелеца больше нет поблизости), изменить его, а затем возобновить оригинальную программу. Первая программа при возобновлении увидит изменённый файл и может вылететь или (что хуже) быть обманутой в безопасности.

Одним из вариантов могло бы быть сохранение все ещё открытых объектов, которые принадлежат гибернированному процессу. Тогда у вас была бы проблема, что файл не может быть удалён, потому что программа, которая с ним работает, даже не запущена! (И действительно, чтобы возобновление процесса было успешным после перезагрузки, файл должен быть вновь открыт после перезагрузки системы. Теперь у вас есть файл, который не может быть удалён даже после перезагрузки, потому что он открыт программой, которая не работает. Подумайте, об удивительных отказах в обслуживании: создание и удерживание открытым файла в 20 Гб, а затем гибернация процесса и удаление файла спящего режима. Ха-ха, вы только что создали постоянно неудаляемый файл в 20 Гб).

Теперь: что если гибернируемая программа имела бы окна? Должны ли описатели окон оставаться валидными, если программа уже гибернирована? Что произойдет, если вы направите в такое окно сообщение? Если описатели окон не должны оставаться в силе, то что произойдёт с широковещательными сообщеними (broadcast messages)? Должны ли они "сохраняться где-то", чтобы потом воспроизвестись, когда программа возобновится? (А что, если это широковещательное сообщение было типа: "Я собираюсь вынуть этот USB жесткий диск, вот ваш последний шанс сбросить данные"? Программа на гибернации не получит шанса сохранения данных. Результат: испорченные данные на USB жестком диске).

И представьте себе хаос: если можно было бы взять сгибернированный процесс и скопировать его на другую машину, а потом попытаться восстановить его там.

Если вы хотите сделать функциональность вида "checkpoint / fast restore" в вашей программе, то вы должны написать её сами. Тогда вам придется непосредственно иметь дело с такими вопросами ("Я хочу открыть этот файл, но кто-то его уже удалил. Что я должен делать?" или "Хорошо, я собираюсь создать checkpoint - мне лучше бы сохранить на диск все мои буфера с данными и отметить мои данные в кэше как недействительные, поскольку кэшированные вещи могут поменяться, пока я буду приостановлен").