进程的创建过程

最新推荐文章于 2024-08-22 17:42:28 发布
最新推荐文章于 2024-08-22 17:42:28 发布
阅读量4k 收藏 1
点赞数
分类专栏: win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l15263458908/article/details/90318249
版权

所有的进程都是由别的进程创建出来的,用鼠标双击运行一个程序的时候,实际上是由explorer.exe这个进程创建出来的那么这个时候有人可能会问,所有的进程都是由其他进程创建出来的,那么第一个进程呢?第一个进程其实是由操作系统内核进行创建的

进程的创建过程:

  1. 映射EXE文件
  2. 创建内核对象EPROCESS(一个进程对应一个EPROCESS)
  3. 映射系统DLL(ntdll.dll)
  4. 创建线程内核对象ETHREAD
  5. 系统启动线程
    映射DLL(ntdll.LdrInitializeThunk)
    线程开始执行

可以在第4步与第5步之间做一些猥琐的事情,怎么在第4步与第5步之间搞事情呢???
可以在CreateProcess这个函数的第6个参数__in DWORD dwCreationFlags,,将其设置为CREATE_SUSPENDED,然后线程就会被挂起,然后在这个地方进行PE映像切换,这个在《逆向工程核心原理》第56章有讲,因为这里是进程的创建过程,所以对PE影响切换不再描述

创建进程主要是用到一个API CreateProcess


  BOOL WINAPI CreateProcess(
__in_opt     LPCTSTR lpApplicationName,										//进程完整路径名
__inout_opt  LPTSTR lpCommandLine,											//命令行参数
__in_opt     LPSECURITY_ATTRIBUTES lpProcessAttributes,		//子进程句柄是否可以被继承,一般为NULL
__in_opt     LPSECURITY_ATTRIBUTES lpThreadAttributes,			//主线程句柄是否可以被继承,一般为NULL  
__in         BOOL bInheritHandles,														//是否可以继承句柄
__in         DWORD dwCreationFlags,							
__in_opt     LPVOID lpEnvironment,											//NULL,这个参数没什么用
__in_opt     LPCTSTR lpCurrentDirectory,						//传给子进程的工作目录,如果为NULL,则与本进程的工作目录相同
__in         LPSTARTUPINFO lpStartupInfo,						//启动信息,由父进程传给子进程
__out        LPPROCESS_INFORMATION lpProcessInformation		//进程信息
);


typedef struct _STARTUPINFO {
  DWORD cb;						//当前结构体的大小,为了后续扩展而设置
  LPTSTR lpReserved;
  LPTSTR lpDesktop;
  LPTSTR lpTitle;
  DWORD dwX;
  DWORD dwY;
  DWORD dwXSize;
  DWORD dwYSize;
  DWORD dwXCountChars;
  DWORD dwYCountChars;
  DWORD dwFillAttribute;
  DWORD dwFlags;
  WORD wShowWindow;
  WORD cbReserved2;
  LPBYTE lpReserved2;
  HANDLE hStdInput;
  HANDLE hStdOutput;
  HANDLE hStdError;
} STARTUPINFO, 
 *LPSTARTUPINFO;

注意:
可以用GetStartupInfo来获取当前启动信息,这个可以用于反调试,因为你通过双击运行程序获取的启动参数 和 用OD启动程序获取的启动信息有些参数是不一样的,因此可以作为反调试的手段

z4ky
关注
专栏目录
进程线程创建过程
hambaga的博客
03-10 1852
一、进程创建过程 所有进程都通过 PspCreateProcess 函数创建,包括 System 进程。它被三个函数调用,分别是NtCreateProcessEx、PsCreateSystemProcess 和 PspInitPhase0 。 NtCreateProcessEx 是 CreateProcess 的内核服务; PspInitPhase0 函数是系统初始化早期调用的,它创建了 System 进程,System 进程的句柄保存在全局变量 PspInitialSystemProcessHandle
Android App进程创建过程分析
sd_zhuzhipeng的专栏
08-21 2200
在分析Activity启动的文章《Android Activity启动过程分析》中,我们遗留了一个小尾巴——App冷启动的情况下,当时没有讲解进程创建过程,现在我们就把这个尾巴接上,一起看看Android中App进程创建过程(本文分析过程是基于Android Q源码)。  先给结论:在Android系统中创建App进程是由zygote进程负责创建的;在一个App种冷启动另一个App,首先会经由system_server进程种的ActivityManagerSrevice生成创建进程的请求,创建进程的.
进程是什么以及进程是如何创建的(了解fork系统调用的过程
m0_61227789的博客
10-24 150
首先程序的本质其实就是文件,该文件可以被永久性的存放在磁盘当中,一个加载到内存中的程序,我们就称之为进程,在windows下我们可以看到许多进程,包括正在运行的和后台运行的进程:在深入理解进程创建之前,我们先来看一下进程的数据结构。在 Linux 中,是用一个 task_struct 来实现 Linux 进程的(其实 Linux 线程也同样是用 task_struct 来表示的,这个我们以后文章单独再说)。
操作系统(自用)
最新发布
qq_59303006的博客
08-22 633
紫书:操作系统是计算机系统中的一个系统软件,它是这样一些程序模块的集合——它们管理和控制计算机系统中的硬件及软件资源,合理地组织计算机工作流程,以便有效地利用这些资源为用户提供一个具有足够的功能、使用方便、可拓展、安全和可管理的工作环境,从而在计算机与其用户之间起到接口的作用。黑书:操作系统是管理计算机硬件的程序。它还为应用程序提供基础,并且充当计算机用户和计算机硬件的中介。操作系统是一直运行在计算机上的程序(通常称为内核,除内核外还有系统程序和应用程序,前者是与系统运行有关的程序,但不是内核的一部分。
【Linux内核学习笔记】进程创建过程
ddna的专栏
12-07 6806
进程创建过程------基于Linux0.11源码分析1. 背景进程创建过程无疑是最重要的操作系统处理过程之一,很多书和教材上说的最多的还是一些原理的部分,忽略了很多细节。比如,子进程复制父进程所拥有的资源,或者子进程和父进程共享相同的物理页面,拥有自己的地址空间,子进程创建后接受统一调度执行等等。原理性的书籍更多地关注了进程创建过程中各个关键部分的功能,但由于过于抽象,很难理
关于Windows创建进程过程
aijuzhou1959的博客
03-11 706
之前有听到别人的面试题是问系统创建进程的具体过程是什么,首先想到的是CreateProcess,但是对于具体过程却不是很清楚,今天整理一下。 从操作系统的角度来说 创建进程步骤: 1.申请进程块 2.为进程分配内存资源 3.初始化进程块 4.将进程块链入就绪队列 课本上的知识。。。 从CreateProce...
进程创建过程
程序猿Ricky的日常干货
02-25 4947
进程创建进程创建时,调用do_fork函数来创建进程,那么和调度相关的操作主要有两个,一个是sched_fork,这是对一个进程进行调度的初始化,另外一个就是wake_up_new_task,这个是把刚刚创建的子进程唤醒加入到调度器中管理。 首先来看sched_fork函数,调用流为do_fork–>copy_process–>sched_fork。 /* * fork()...
Android进程创建流程
gsj0722的博客
09-28 526
进程创建过程的简要图: 图解: App发起进程:当从桌面启动应用,则发起进程便是Launcher所在进程;当从某App内启动远程进程,则发送进程便是该App所在进程。发起进程先通过binder发送消息给system_server进程; system_server进程:调用Process.start()方法,通过socket向zygote进程发送创建进程的请求; zygote进程:在执行Zyg...
Linux 创建进程的全部过程(fork()的原理)
TABE_的博客
02-28 1973
创建一个进程可以通过clone(),fork(),vfork()这三个系统调用来完成。而这三个系统调用都是由do_fork()函数来负责处理。在《深入理解Linux内核(第三版)》中写到,实现clone()系统调用的是sys_clone()服务例程,实现fork()系统调用的是clone(),实现vfork()的也是clone()。但是负责处理clone(),fork()和vfork()的函数是do_fork()。概括的流程就是:clone(),fork(),vfork() ——> sys_clone
Windows进程创建过程详解(含PE文件加载)
谈成(C/C++)
05-18 1847
1.调用CreateProcessW打开指定可执行文件,并创建一个内存区对象。这里仅仅是打开exe文件,并没有将文件映射到内存中。打开exe是为了在后续创建进程过程中从exe头部中读取一些环境配置。 2.调用ntdll.dll中的NtCreateProcessEx系统服务。该函数仅仅是一个内核层对外的门户,其实ntdll.dll中几乎所有的API都是一个空壳,ntdll.dll的本质就是用户层和内核层之间的一道屏障。而这道屏障就是负责保护内核层的,防止用户层直接控制内核层。ntdll.dll中的API会对
Linux中进程创建过程
KingOfMyHeart的博客
06-26 1605
Linux系统的产生
进程创建的基本过程
fengxia110的博客
03-13 2410
介绍线程的相关概念,线程的创建方式,以及一些属性。本文章不适合C++学者和考研学生,适合Java学习人员,简单理解线程和进程的概念
进程创建
m0_65931372的博客
07-28 625
Linux内核把进程称为任务(task)。在介绍进程之前,介绍一下linux源码的结构。 源码结构 注意带“/”的都是目录,其他的是文件。 arch/ :不同架构、平台体系相关代码,如s390、x86 block/ :块设备驱动 certs/ :与认证签名相关的代码 cryto/ :内核常用的加密和压缩算法等代码 Documentation/ :描述模块功能和协议规范的代码 drivers/ :驱动程序,如usb总线、pci总线、显卡驱动 firmware/ :主要是一些二进制固件的代码 fs/ :虚拟文
如何创建一个进程
YeLing0119的博客
10-08 1345
如何创建一个进程   基础概念   要想了解进程,我们先看一下什么是程序。   程序:     为了完成特定任务的一系列指令的有序集合     存储在磁盘上     程序 : 代码 + 数据     那么什么时进程呢?   进程:     程序的一次动态执行过程     存储在内存中     每个程序都有自己的状态     每个进程...
进程创建过程
diheqiu3577的博客
07-01 928
1.什么是进程?   进程提供程序所需的资源,如: 数据、代码等等(空间上的概念) 进程由一大堆PE格式文件组成。 3.进程创建 <1>任何进程都是别的进程创建的:CreateProcess() <2>进程创建过程 映射EXE文件 创建内核对象EPROCESS 映射系统DLL(ntdll.dll) 创建线程内核对象ETHR...
windows创建进程过程
weixin_30393907的博客
05-06 240
  进程,顾名思义,是一个进行中的程序,即操作系统正在运行的程序的实例。它由两部分组成:   1.进程的一部分是操作系统管理进程的内核对象。系统使用内核对象来存放进程的信息   2.进程的另一部分是进程的地址空间,它包含进程运行所需要的代码和数据   我们可以使用CreateProcess函数来创建一个进程,因为进程由两部分组成,所以系统在调用CreatProcess函数的时候,会创建一个进...
【2020.12.31】进程创建过程
oalken的博客
12-31 243
进程内存空间地址划分 每个进程有4GB虚拟内存空间(实际只有2G:也就是低2G空间的用户模式区)。 进程的用户模式区低2G空间前64KB与后64KB是没有使用的。 每个进程的内核空间是同一份,是公用的。 分区 x86 32位Windows 空指针赋值区 0x00000000 - 0x0000FFFF 用户模式区(低2G) 0X00010000 - 0x7FFEFFFF 64KB禁入区 0x7FFF0000 - 0x7FFFFFFF 内核(高2G) 0x80
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值