Windows内核之进程基本含义以及进程的创建

最新推荐文章于 2022-11-02 12:27:09 发布
最新推荐文章于 2022-11-02 12:27:09 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: 操作系统 windows编程 文章标签: Windows内核 进程 进程创建
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ddupd/article/details/26633849
版权
本文探讨了Windows内核中的进程概念,包括进程的内核对象、地址空间和进程创建步骤。介绍了从调用C/C++运行时启动函数开始,直到退出过程的整个流程,以及如何获取和使用进程的实例句柄、命令行、环境变量、当前目录等信息。同时,详细讲解了CreateProcess函数用于创建新进程的各个参数及其作用。
摘要由CSDN通过智能技术生成

进程

1 进程的含义:

1.1   一个是操作系统用来管理进程的内核对象。内核对象也是系统用来存放关于进程的统计信息的地方。

1.2   另一个是地址空间,它包含所有可执行模块或DL L 模块的代码和数据。它还包含动态内存分配的空间。如线程堆栈和堆分配空间。

2 操作系统启动应用程序的步骤

2.1 调用C/c++运行时的启动函数

         启动函数总共4种,WinMainCRTStartup,wWinMainCRTStartup,mainCRTStartup,wmainCRTStartup。

         启动函数完成如下任务:

<1>检索指向新进程的完整命令行的指针

<2>检索指向新进程的环境变量的指针

<3>对C/ C + +运行期的全局变量进行初始化。如果包含了S t d L i b . h 文件,代码就能访问这些变量

<4>对C运行期内存单元分配函数(m a l l o c 和c a l l o c )和其他低层输入/输出例程使用的内存栈进行初始化。

<5>为所有全局和静态C+ +类对象调用构造函数。

<6>调用入口点函数

如:int nMainRetVal = wmain(__argc, __wargv, _wenviron);

<7>当进入点函数返回时,启动函数便调用C 运行期的ex i t 函数,将返回值(nMainRetVal )传递给它。

<8>调用由_onexit函数的调用而注册的任何函数

<9>为所有全局的和静态的C++类对象调用析构函数

<10>调用操作系统的ExitProcess函数,将nMainRetVal传递给它。这使得该操作系统能够撤消进程并设置它的e x i t 代码

 

3 进程的实例句柄

3.1 进程的当前实例句柄

         加载到进程地址空间的每个exe或者dll文件都会被赋予一个独一无二的句柄。

获取加载的模块(exe,dll)的方法:

GetModuleFileName(HMOUDLEhModule,LPTSTR lpFileName,DWROD nSize);

当hModule的值为NULL 的时候,会返回当前调用模块的全部路径名字。

3.2 进程的前一个实例句柄

         C++代码总是将NULL赋值给WinMain函数的

最低0.47元/天 解锁文章
eskimoer
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编程技术_Windows 内核进程隐藏侦测技术-综合文档
05-19
1. **Windows内核**:Windows内核是操作系统的核心部分,负责管理系统的硬件资源,如CPU、内存,以及提供系统服务,如进程管理、线程管理、设备驱动等。它是所有系统服务、设备驱动程序及用户应用程序的基础。 2. *...
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言技巧经验分享
11-19 1598
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
Windows进程编程
热门推荐
冰箫寒剑
02-04 2万+
一、进程的概念       进程是是一个正在运行的程序的实例(飘~~~),是系统分配资源的单位(线程是执行的单位),包括内存,打开的文件、处理机、外设等,进程由两部分组成:      1、进程内核对象:即我们通常所讲的PCB(进程控制块),该结构只能由该内核访问,他是操作系统用来管理进程的一个数据结构,操作系统通过该数据结构来感知和管理进程;它的成员负责维护进程的各种信息,包括进程的状态(创建
Windows进程
谈成(C/C++)
07-18 2830
一、概念 想要理解进程,首先要知道什么是进程。举一个简单的例子。当我们打开任务管理器时,会看到列表中有很多的条目,如下: 而这一行行的数据就是windows进程。同时,我们可以发现这些进程都是以exe来命名的。事实上,当我们鼠标双击exe时,系统就会为这个exe创建一个对应的进程。 现在,我们已经知道进程是什么了。那么接下来开始讨论“进程的本质是什么”。 二、进程的本质 关于进程的本质,其实就是理解进程windows中扮演的角色是什么,并且如何存在于系统中的。 1)进程的角色 当我们想要在系统中做一件
windows 进程与线程讲解(1)
ylh的博客
10-12 996
什么是windows内核对象? 内核对象的创建及操作,进程线程与模块的遍历操作
操作系统最核心的概念-进程(下)
KnightHONG的博客
08-09 345
为了让大家了解、掌握的相关知识,这个不管是面试或者平常工作中都需要接触的重头戏。洪爵以问答的方式把常见的、易错的、大家想知道的问题做个收集 + 解答。
Windows操作系统下创建进程的过程
01-09
进程(Process)是具有一定独立功能的程序关于某个数据集合上的一次运行活动,是系统进行资源分配和调度的一个独立单位。...从内核角度讲线程是活动体对象,而进程只是一组静态的对象集,进程必须至少拥
Windows内核和驱动进程保护
01-06
本文将深入探讨这两个主题,并基于"Windows内核和驱动进程保护"的标题及描述,介绍如何配置驱动开发环境,理解SSDT(System Service Descriptor Table)钩子的进程保护机制,以及涉及的相关源代码分析。 首先,让...
Linux内核结构与进程管理PPT课件.ppt
11-24
2. PCB(Process Control Block):进程创建内核为其分配的一个核心数据结构,进程自身不能直接存取。 3. 地址空间 4. 系统堆栈空间:进程运行在核心态时使用的堆栈,和PCB连在一起,共8KB,其中PCB约占1000字节,...
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
在C++中,可以使用Windows API函数(如CreateToolhelp32Snapshot)来遍历和分析进程,或者编写内核驱动程序来获取更高的控制权限。 5. **源码分析**:`ProtectProcess`可能是源码中的关键函数或类,负责实现进程...
Windows内核基础之进程
tutucoo
12-07 872
1. 进程结构体EPROCESS 每个运行中的进程Windows内核中都有一个EPROCESS的结构体,这个结构体包含了进程所有重要的信息。 在WinDbg中使用指令dt _EPROCESS可以查看进程结构体的所有成员。 nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x098 ProcessLock : _EX_PUS...
Gloomy对Windows内核的分析(内存与进程管理器)
峥嵘岁月
01-31 3908
内存与进程管理器==========================                                   But I fear tomorrow Ill be crying,                                   Yes I fear tomorrow Ill be crying.                      
Windows内核--代码只有main函数, 进程怎么创建的? (2.1)
编程语言技巧经验分享
11-02 274
代码只有main函数, 进程怎么创建的?
windows创建进程的用户态和内核态交互----小话windows(1)
编程语言技巧经验分享
06-19 8601
作者:陈曦 日期:2012-6-19 12:28:30 环境:[win7旗舰版 SP1  ; Intel i3  x86, 支持64位  ;vs2010  ; wrk-v1.2  ; Virtual PC 2007   windows 2003 server sp1 standard edition镜像 ;WinDbg 6.11.0001.404(x86) ]  转载请注明出处
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3324
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
Windows内核进程创建和模块加载通知的先后顺序
xiejianjun417的专栏
08-22 883
Windows内核进程创建和退出通知主要通过调用PsSetCreateProcessNotifyRoutine或者PsSetCreateProcessNotifyRoutineEx来注册事件通知函数,在进程创建和退出时,系统会调用注册的事件通知函数;可执行模块加载通知调用PsSetLoadImageNotifyRoutine或PsSetLoadImageNotifyRoutineEx来注册事件通知...
Linux进程含义知多少
weixin_34242819的博客
05-10 216
Linux进程含义知多少理想情况下,您应该明白在您的系统中运行的每一个进程。要获得所有进程的列表,可以执行命令ps-ef(POSIX 风格)或ps ax(BSD 风格)。进程名有方括号的是内核级的进程,执行辅助功能(比如将缓存写入到磁盘);所有其他进程都是使用者进程。您会注意到,就算是在您新安装的(最小化的)系统中,也会有很多进程在运行。熟悉它们,并把它们记录到文档...
windows 内核Hook函数做到禁止创建进程
最新发布
05-31
Windows 内核中,可以通过修改进程创建的回调函数来实现禁止创建进程。具体来说,可以使用 PsSetCreateProcessNotifyRoutineEx 函数注册一个回调函数,每当有新的进程创建时就会调用该回调函数。在回调函数中,可以检查当前进程的信息,如果不符合要求,则可以返回拒绝创建进程的错误码。 以下是一个简单的示例代码: ``` VOID MyCreateProcessNotifyRoutineEx( _Inout_ PEPROCESS Process, _In_ HANDLE ProcessId, _In_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo ) { UNREFERENCED_PARAMETER(ProcessId); if (CreateInfo != NULL && CreateInfo->FileOpenNameAvailable) { UNICODE_STRING processName = CreateInfo->ImageFileName; if (RtlCompareUnicodeString(&processName, &L"not_allowed_process.exe", TRUE) == 0) { CreateInfo->CreationStatus = STATUS_ACCESS_DENIED; } } } NTSTATUS DriverEntry( _In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath ) { UNREFERENCED_PARAMETER(RegistryPath); PsSetCreateProcessNotifyRoutineEx(MyCreateProcessNotifyRoutineEx, FALSE); return STATUS_SUCCESS; } ``` 在上述代码中,我们注册了一个名为 MyCreateProcessNotifyRoutineEx 的回调函数,每当有新的进程创建时就会调用该函数。在函数中,我们检查了进程的文件名,如果是 not_allowed_process.exe,则返回 STATUS_ACCESS_DENIED,拒绝创建进程。最后,在 DriverEntry 函数中调用 PsSetCreateProcessNotifyRoutineEx 函数注册回调函数即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值