因为Windows没有维护进程中父子关系（仅仅在创建子进程的一瞬间具有父子关系），所以想通过父进程来控制子进程是很困难的。为此，Windows推出了一个特殊的内核对象---作业（Job），作业就像是一个天然“沙箱”，可以对其中的进程进行时间、内存以及权限等限制。

•     作业使用步骤
  1. 首先需要创建作业内核对象，通过一下函数来创建作业内核对象

     HANDLE CreateJobObject(
       PSECURITY_ATTRIBUTES pas,
       PCTSTR pszName
     );

     与其他内核对象一样的，第一个参数用于指定作业对象的安全信息，以及是否可继承

  2. 其次，是对作业中的进程进行设限，具体通过SetInformationJobObject()来实现

     BOOL SetInformationJobObject(
       HANDLE hJob,
       JOBOBJECTINFOCLASS JobObjectInformationClass,
       PVOID pJobObjectInformation,
       DWORD cbJobObjectInformationSize
     );

     第一个参数用于指定设限的作业，第二个参数用于指定设限的类型，第三个参数用于指向存储具体设限内容的数据结构，第四个参数表示此数据结构的大小。具体内容请参看https://msdn.microsoft.com/en-us/library/windows/desktop/ms686216(v=vs.85).aspx

  3. 设置好限制之后，我们需要创建进程，就像平常一样创建进程，但是需要设置CREATE_SUSPENDED这个标志。如果不设置，子进程会在创建完成后立即开始执行代码，即逃离沙箱，如果想真正的限制住它，就需要让它在创建完成后不执行任何代码，再通过AssignProcessToJobObject()将进程放入沙箱（作业）

     BOOL AssignProcessToJobObject(
       HANDLE hJob,
       HANDLE hProcess
     );

                

  4. 当进程创建完成并放入作业中后，我们需要将挂起的进程恢复运行，通过ResumeThread()即可

     DWORD WINAPI ResumeThread(
       HANDLE hThread
     );

              

  5. 最后，想要在作业所属进程中知道子进程何时结束，可以简单地用WaitForSingleObject()来获取进程内核对象的触发状态。对于内核对象而言，拥有触发与未触发两个状态，当达到触发状态时，WaitForSingleObject()会捕捉到并返回。而对于进程内核对象而言，只有当进程结束时它的内存对象才会变成触发状态。

     DWORD WaitForSingleObject( 
       HANDLE hHandle,
       DWORD dwMilliseconds
     );

                   

• PS:当设置的时间限制和内存限制太小，会出现参数错误而导致设限失败，而如果内存限制小于进程需要的内存空间时，会出现应用程序错误   

• PS:具体参考代码请前往 https://git.oschina.net/Explorer0/codes 处，如有错误，敬请指出~