回顾一下我们开始接触计算机的阶段,你对着桌面上的图标点击却怎么也打不开,当老师告诉你要左击两下的时候,你发现还是没有打开,而你要打开的图标的名字却变成了可编辑状态,后来大致搞懂是手速不够,那么当你接触计算机N年后,你是否搞懂双击这个习以为常的动作完成后发生了什么?
你在图标上双击的操作被Explorer.exe也就是桌面程序获知,在桌面程序体内有一堆等着响应的DLL,它们被称为Shell程序。其中有一个叫Shell32.dll的家伙,它表示认领双击工作,首先它获取被我们点击的文件名字和位置,然后开始通过ShellExecuteExW来执行我们的程序,最终调用了程序员熟悉的CreateProcessW。
以XP为例,流程如下:
......
_InvokeContextMenu()
CDefFolderMenu::InvokeCommand()
HDXA_LetHandlerProcessCommandEx()
CShellExecMenu::InvokeCommand
CShellExecMenu::_InvokeOne()
_InvokePid()
ShellExecuteExW()
_ShellExecuteNormal()
ExecuteNormal()
_TryInvokeApplication()
_DoExecCommand()
_SHCreateProcess()
CreateProcessW()CreateProcessW()中的工作比较多,先做必要的合法检查,再分析此文件是可执行程序吗?是否需要其他程序打开,就想你双击的虽然是.txt文件但打开的往往是记事本.
如果你想了解更详细的Windows系统中创建进程后半部分的内容,阅读React OS源码是个不错的选择。
双击跟踪过程在尝试多种工具后发现火绒剑可以满足我的需要。
感谢你的阅读,晚安。
2016年8月11日 00:41:16
2326
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
