Windows内核--CreateProcess到内核NtCreateProcess(2.3)

已于 2022-11-19 19:40:54 修改
阅读量1.5k 收藏 4
点赞数
分类专栏: 小话Windows内核 文章标签: kernel windows windows kernel
于 2022-11-19 19:38:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxsjabcabc/article/details/127874075
版权

CreateProcessA vs CreateProcessW

        A和W后缀代表ANSI和UNICODE版本。早期,Windows为了兼容之前ANSI版本,为了推广UNICODE版本,所以做出了两套API.

        注意,并不是所有Windows API都有*A和*W两套,只有API参数包含"字符串"才可能有两个版本。

        CreateProcess只是一个宏,在UNICODE版本是*W, ANSI是*A.

                

CreateProcessA vs CreateProcessAsUser

        后者多了参数hToken, 可指定在此token对应的安全上下文,默认创建的进程是不可交互的,且不可接受输入。

        UAC就会使用CreateProcessAsUser做权限管控。

CreateProcess到NtCreateProcess经过哪些DLL?

        kernel32.dll --> KernelBase.dll(自Vista之后新增) --> ntdll.dll

Callstack (环境: Win10)

        WinDbg attach到cmd.exe,  cmd.exe里创建应用程序触发创建进程的断点。

        

XP系统是会Kernel32 CreateProcess(A/W)进入到ntdll NtCreateProcess.

Win 10变成kernel32放存根, KERNELBASE具体实现参数检查、环境创建并调入ntdll并进入系统调用,改用NtCreateUserProcess, 弃用了NtCreateProcess.

NtCreateUserProcess

        和裸调系统调用类似,syscall或者int 2Eh完成进入内核SSDT.

0:000> u ntdll!NtCreateUserProcess
ntdll!NtCreateUserProcess:
00007ffd`30b6e650 4c8bd1          mov     r10,rcx
00007ffd`30b6e653 b8c8000000      mov     eax,0C8h
00007ffd`30b6e658 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1
00007ffd`30b6e660 7503            jne     ntdll!NtCreateUserProcess+0x15 (00007ffd`30b6e665)
00007ffd`30b6e662 0f05            syscall
00007ffd`30b6e664 c3              ret
00007ffd`30b6e665 cd2e            int     2Eh
00007ffd`30b6e667 c3              ret

它与NtCreateProcess差在系统服务号eax不同,其他都类似。

0:000> u ntdll!NtCreateProcess
ntdll!NtCreateProcess:
00007ffd`30b6e470 4c8bd1          mov     r10,rcx
00007ffd`30b6e473 b8b9000000      mov     eax,0B9h
00007ffd`30b6e478 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1
00007ffd`30b6e480 7503            jne     ntdll!NtCreateProcess+0x15 (00007ffd`30b6e485)
00007ffd`30b6e482 0f05            syscall
00007ffd`30b6e484 c3              ret
00007ffd`30b6e485 cd2e            int     2Eh
00007ffd`30b6e487 c3              ret

注意看:

    test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1

    根据SharedUserData + 0x308和1比较,如果是0,用int, 否则用syscall.

  SharedUserData (_KUSER_SHARED_DATA)

        Windows NT+开始, 从2000到Win10都有此结构。目的为了让内核把频繁访问的信息,比如时间等,用全局一致的共享结构给用户空间,减少频繁系统调用带来的性能消耗。

:000> dt _KUSER_SHARED_DATA 00000000`7ffe0308
ntdll!_KUSER_SHARED_DATA
   +0x000 TickCountLowDeprecated : 0
   +0x004 TickCountMultiplier : 0
   +0x008 InterruptTime    : _KSYSTEM_TIME
   +0x014 SystemTime       : _KSYSTEM_TIME
   ......
   ......
   +0x308 SystemCall       : 0           // 此处是0
   +0x30c Reserved2        : 0
   +0x310 SystemCallPad    : [2] 0

  WRK _KUSER_SHARED_DATA结构体

  

代码调用CreateProcess, 为什么能跑进kernel32 CreateProcessWStub?

        首先CreateProcess根据UNICODE定义与否,选择是否调用CreateProcessW.

        编译器直接插入了stub, 将调入转入到kernel32.

        

回到CreateProcessInternalW

        ReactOS: dll/win32/kernel32/client/proc.c File Reference + IDA win10 DLL

        a. 验证参数合法

                

                参数creationFlags同时有DETEACHED_PROCESS和NEW_CONSOLE是非法的。

                进程优先级Idle/Nromal等状态从此参数获取,这里只列举部分参数,源代码里面有很多检查。

        b. 搜索可执行文件,并加载

                

                 

                  注意,DosPath to NtPath转换类似于:

                        C:\\WINDOWS\\exefile --> \\Device\\HarddiskVolume1\\WINDOWS\\exefile

                        内核不认识C盘字符:"C:\\", 它是方便用户查阅的符号链接。

        c. 调用NtOpenFile打开可执行文件并创建section

                

                

                创建进程映射空间,为加载做准备(参考: NtCreateSection function).

        d. 确认Subsystem是GUI或CUI, 且MajorVersion和MinVersion符合预期

                 

                

                 这是为什么VS设置错了subsystem(version)程序不能启动的原因。

        e. 调用ntdll创建进程

                

                Win10: NtCreateUserProcess

        f. 创建主线程

                 

                 

                 

               注意,如果参数带CREATE_SUSPENED, 线程默认是不会执行的。 

               内核创建完进程和线程后,如何执行到真正的用户层线程代码?

                     参考:Windows内核--代码只有main函数, 进程怎么创建的? (2.1)     

  为什么用户层会有这么多参数检查和流程处理,不移到内核处理?

        让内核处理过多的参数检查,和流程处理并不是很好的做法,反而加重了内核的负担。可以在用户层发现错误就返回,比进入内核检查到错误再返回更高效。

程序员小迷
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
ios CCSMS.m
07-12 982
//// CCSMS.m// CCFC////#import "CCSMS.h"#if CC_ENABLE_PRIVATE_API NSString* const SIMStatusReady = @"
博客
ios CCRuntime.m
07-12 226
//// CCRuntime.m// CCFC////#import "CCRuntime.h"@implementation CCRuntime// get the var of the obj+
博客
ios CCRectangleBlock.m
07-11 815
//// RectangleBlock.m// PhoneManager////#import "CCRectangleBlock.h"#import "CCSystem.h"@im
博客
ios CCRect.m
07-11 385
//// CCRect.m// CCFC////#import "CCRect.h"#import "CCCommon.h"#import "CCNSNumber.h"@implementation CCR
博客
ios CCRandom.m
07-10 507
//// CCRandom.m// CCFC////#import "CCRandom.h"#import #import #import "CCLog.h"@implementation CCRando
博客
ios CCRadix.m
07-10 627
//// CCRadix.m// CCFC////#include "CCRadix.h"@implementation CCRadix+ (NSString *)get2Ra
博客
ios CCPoint.m
07-09 773
//// CCPoint.m// CCFC////#import "CCPoint.h"#import "CCCommon.h"#import "CCNSNumber.h"@implementation
博客
ios CCPlistFileWritter.m
07-09 409
//// CCPlistFileWritter.m// CCFC//#import "CCPlistFileWritter.h"@implementation CCPlistFileWritter
博客
ios CCPlistFileReader.m
07-08 601
//// CCPlistFileReader.m// CCFC//// Created by xichen on 11-12-18.// Copyright 2011 ccteam. All rights reserved.//#import "CCPlistFileReader.h"#import "CCFileUtil.h"@implementation CC
博客
ios CCPlayer.m
07-08 429
//// CCPlayer.m// CCFC//// Created by xichen on 11-12-16.// Copyright 2011年 ccteam. All rights reserved.//#import "CCPlayer.h"@implementation CCPlayer// 调用系统播放器播放资源界面+ (MPMedia
博客
ios CCPhoto.m
07-06 330
//// CCPhoto.m// CCFC//// Created by xichen on 11-12-16.// Copyright 2011年 ccteam. All rights reserved.//#import "CCPhoto.h"#import @implementation CCPhoto// 调用系统照片库+ (UIImagePi
博客
View, SurfaceView, GLSurfaceView, TextureView的区别与联系
07-06 385
是SurfaceView的子类,OpenGL专用。前面的SurfaceView的工作方式是在一个独立的绘图表面进行绘制,因此无法对其应用变换操作(平移、缩放、旋转等),而TextureView则解决了此问题,在Android4.0引入。
博客
ios CCPhone.m
07-05 1391
//// CCPhone.m// CCFC//// Created by xichen on 11-12-16.// Copyright 2011年 ccteam. All rights reserved.//#import "CCPhone.h"#import "CCNSString.h"#import #import @implementation CCP
博客
ios CCNSTimeZone.m
07-05 350
//// CCNSTimeZone.m// CCFC//// Created by xichen on 11-12-24.// Copyright 2011 ccteam. All rights reserved.//#import "CCNSTimeZone.h"#import "CCLog.h"@implementation NSTimeZone(cc)
博客
ios CCNetwork.m
07-04 827
//// CCNetwork.m// CCFC//// Created by xichen on 11-12-23.// Copyright 2011 ccteam. All rights reserved.//#import "CCNetwork.h"@implementation CCNetwork// get the total info of ne
博客
ios CCNSTimer.m
07-04 419
//// CCNSTimer.m// CCFC//// Created by xichen on 11-12-28.// Copyright 2011 ccteam. All rights reserved.//#import "CCNSTimer.h"@implementation NSTimer(cc)// create a common timer
博客
ios CCNSRegularExpression.m
07-03 321
//// CCNSRegularExpression.m// CCFC//// Created by xichen on 11-12-23.// Copyright 2011 ccteam. All rights reserved.//#import "CCNSRegularExpression.h"@implementation NSRegularExpres
博客
ios CCNSThread.m
07-02 500
//// CCNSThread.m// CCFC//// Created by xichen on 11-12-17.// Copyright 2011年 ccteam. All rights reserved.//#import "CCNSThread.h"@implementation CCNSThread@end可能有更新:goo
博客
ios CCNSPredicate.m
07-02 398
//// CCNSPredicate.m// CCFC//// Created by xichen on 11-12-27.// Copyright 2011 ccteam. All rights reserved.//#import "CCNSPredicate.h"@implementation NSPredicate(cc)// returns wh
博客
ios CCNSString.m
07-01 790
//// CCNSString.m// CCFC////// #include #ifdef __OBJC__#import "CCN

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值