进程创建流程

最新推荐文章于 2022-03-27 20:59:03 发布
最新推荐文章于 2022-03-27 20:59:03 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: windows底层核心編程 文章标签: attributes security access winapi class prototype
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2599815
版权 
;进程创建过程开始 CreateProcessA
call   kernel32!CreateProcessA
 ;10个参数
; BOOL WINAPI CreateProcess(
;   __in_opt     LPCTSTR lpApplicationName,
;   __inout_opt  LPTSTR lpCommandLine,
;   __in_opt     LPSECURITY_ATTRIBUTES lpProcessAttributes,
;   __in_opt     LPSECURITY_ATTRIBUTES lpThreadAttributes,
;   __in         BOOL bInheritHandles,
;   __in         DWORD dwCreationFlags, NORMAL_PRIORITY_CLASS
;   __in_opt     LPVOID lpEnvironment,
;   __in_opt     LPCTSTR lpCurrentDirectory,
;   __in         LPSTARTUPINFO lpStartupInfo,
;   __out        LPPROCESS_INFORMATION lpProcessInformation
; );
; 直接调用kernel32!CreateProcessInternalA
call   kernel32!CreateProcessInternalA
; 12个参数,第一个与最后一个为零,中间10个延接了上面传入的10个参数
; 主要任务是将ANSI字符转换成Unicode字符,很多代码用于了转换与检查,所以,直接用Unicode编程将大大增加执行效率  
call   kernel32!CreateProcessInternalW
;  12个参数
;  基本延续上面的
;  第6个参数 and 0F7FFFFFFh


以下为kernel32!CreateProcessInternalW中的流程:



 call ntdll!ZwQueryInformationJobObject
;  ZwQueryInformationJobObjectretrieves information about a job object.
;  NTSYSAPI
;  NTSTATUS
;  NTAPI
;  ZwQueryInformationJobObject(
;  IN HANDLE JobHandle,           == 0
;  IN JOBOBJECTINFOCLASS JobInformationClass,   == 4
;  OUT PVOID JobInformation,         == Address
;  IN ULONG JobInformationLength,       == 4
;  OUT PULONG ReturnLengthOPTIONAL       == 0
;  );
;  判断返回值是否为C0000022h (拒绝访问)
 call kernel32!SearchPathW
;  进行路径搜索
 call kernel32!GetFileAttributesW
;  获取文件属性
 call kernel32!BasepIsSetupInvokedByWinLogon
;  判断是否WinLogon进程
 call ntdll!RtlDosPathNameToNtPathName_U
 call ntdll!RtlDetermineDosPathNameType_U
;  路径转换
 call ntdll!Nt
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NTDLL中有用的函数
weixin_33726313的博客
06-29 1086
1. NTSYSAPI PIMAGE_NT_HEADERS NTAPI RtlImageNtHeader( IN PVOID ModuleAddress ); 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/06/16/2082271.html...
重载内核(x86)
125096
11-17 2254
#include #include #include #include #include #include #include #ifndef MAX_PATH #define MAX_PATH 256 #endif typedef unsigned char *PBYTE; typedef unsigned char BYTE; typedef unsigned int UIN
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(4)
Kendiv's Box
05-06 3383
第六章  在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 06, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 通往用户模式的桥梁现在,内核调用接口的演化已经缓慢的到达了终点----至少已经涉及内核模式(kernel-mode)。让我们总结一下到目前为止,我们已经获得了什么:l         名为Sp
进程创建过程
程序猿Ricky的日常干货
02-25 4899
进程创建进程创建时,调用do_fork函数来创建进程,那么和调度相关的操作主要有两个,一个是sched_fork,这是对一个进程进行调度的初始化,另外一个就是wake_up_new_task,这个是把刚刚创建的子进程唤醒加入到调度器中管理。 首先来看sched_fork函数,调用流为do_fork–>copy_process–>sched_fork。 /* * fork()...
备用
qq_35746383的博客
08-03 4539
风叶林-资源最多的免费辅助教程论坛 -> 驱动保护 -> 反调试与反反调试内容收集帖 方便大家学习 [打印本页]   啊冲 2016-02-03 10:42 反调试与反反调试内容收集帖 方便大家学习 反调试技术在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调
深层解析最核心的dll:NTDLL.dll
Tommy(凌飞)的专栏
09-23 6356
打开NTDLL.dll,惊奇的发现原来CRT的许多基本函数居然都是在这里实现的!甚至包括qsort,ceil这样的函数,还有臭名昭著的 strcpy(严格来讲,这只能怪使用者不当心)。堆的释放,进城管理,似乎都是在这。于是,我决定,仔细察看以下它,这1410个函数是做什么的.
进程创建
10-22
进程创建 编写一段程序,使用系统调用fork()创建两个子进程.当此程序运行时,在系统中有一个父进程和两个子进程活动.让每一个进程在屏幕上显示一个字符:父进程显示字符”a”;子进程分别显示字符”b”和字符”c”.试...
进程创建与管理.docx
06-09
在实验中,通过修改`fork()`后的代码,实现了进程输出的改变,这涉及到进程的执行流程和控制流。使用`lockf()`系统调用,可以实现进程间的互斥,防止多个进程同时访问共享资源,避免数据竞争的问题。在程序2中,通过...
操作系统进程创建与并发实验报告及源码
12-30
 利用fork()函数编写一个程序,要求父进程创建两个子进程,父进程、子进程并发执行,输出并发执行的消息,如: 父进程正在执行….. 子进程1正在执行….. 子进程2正在执行….. 一段时间后,父进程杀死子进程,然后...
linux系统fork创建进程.zip
04-30
在Linux操作系统中,`fork()`函数是一个非常关键...总之,通过这个实验,你将有机会亲手实践Linux中的进程创建,理解并发与同步的差异,以及`fork()`如何在内存中复制进程。这将对你的Linux系统编程能力有极大的提升。
分析Linux内核创建一个新进程的过程
07-30
进程创建的大致流程可以分为以下几个步骤: * fork()函数通过0x80中断(系统调用)来陷入内核。 * 内核创建一个新的task_struct结构体,并将其添加到系统的进程列表中。 * 内核分配虚拟地址空间和资源给新的进程。 ...
进程(一)—— 进程创建和程序的运行过程
challenglistic的博客
03-27 3622
一些课本上对进程的定义是进行中的程序,那么进程是如何创建的??程序又是如何运行起来的??
操作系统-15-进程创建
热门推荐
FairLikeSnow的博客
04-14 1万+
从这一节起,我们将详细讲解进程的一生。进程如人生,进程的一生同样包含三个阶段,创建,运行和终结,本节是进程三部曲的开篇:进程创建。 接下来,我们讲解关于进程创建的诸多问题。 进程是由谁创建的?在什么情况下创建的? 幸好这个问题不像鸡生蛋蛋生鸡那样,这个问题的答案相对简单,进程创建者有两种: 1.操作系统可以创建新的进程 2.进程也可以创建新的进程 其中,进程创建者被称为父进程创建出的进程被称为子进程。 1,操作系统创建进程:初始化 作为计算机的Boss,最初的进程是由操作系统创建的,操作系统在初始化的
进程线程创建过程
hambaga的博客
03-10 1810
一、进程创建过程 所有进程都通过 PspCreateProcess 函数创建,包括 System 进程。它被三个函数调用,分别是NtCreateProcessEx、PsCreateSystemProcess 和 PspInitPhase0 。 NtCreateProcessEx 是 CreateProcess 的内核服务; PspInitPhase0 函数是系统初始化早期调用的,它创建了 System 进程,System 进程的句柄保存在全局变量 PspInitialSystemProcessHandle
Windows进程与线程---1
For Geek
07-02 1078
概述 相比于Linux中的进程管理,即创建一个线程的同时创建一个进程。而Windows中却不是这样,它是先创建一个进程作为容器,然后创建第一个线程,也就是对于CreateProcess而言,它先调用NtCreateProcess创建进程,然后调用NtCreateThread创建进程的第一个线程。 Windows进程的用户空间 一些重要的宏如下 #define MM_HIGHEST_USER_ADD...
linux内核创建进程流程
最新发布
05-21
6. 根据进程的命令行参数和程序代码,为进程创建一个用户态的初始线程,也就是进程的main函数所在的线程。 7. 将进程状态设置为可调度状态,并将进程加入调度队列中,等待CPU分配时间片开始执行。 以上是Linux内核...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值