Windows 进程的创建和终止

最新推荐文章于 2022-08-01 05:58:16 发布
VIP文章 最新推荐文章于 2022-08-01 05:58:16 发布
阅读量746 收藏
点赞数 1
分类专栏: python 文章标签: windows 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56069948/article/details/125802129
版权

🚀 优质资源分享 🚀

学习路线指引(点击解锁) 知识定位 人群定位
🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。
💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统

创建一个进程

总述

如图,创建一个进程主要分为两部分,用户态部分和内核部分。

既然我们想看看一个进程是怎么被创建的,那我们就用 WinDbg 来看看从用户态到内核态都调用了什么:

第一步:我们先看看 nt 下有哪些方法跟创建进程相关的



|  | 0: kd> x nt!*CreateProcess* |
|  | fffff802`55d8a218 nt!PspSetCreateProcessNotifyRoutine (void) |
|  | fffff802`55cd9714 nt!ExpWnfCreateProcessContext (void) |
|  | fffff802`55dd9a2f nt!PspCreateProcess$filt$0 (void) |
|  | fffff802`55be24f4 nt!PspDeleteCreateProcessContext (void) |
|  | fffff802`55c40ed0 nt!MmCreateProcessAddressSpace (void) |
|  | fffff802`55dbd430 nt!PspCreateProcess (void) |
|  | fffff802`5594fb10 nt!ViCreateProcessCallback (void) |
|  | fffff802`55fdaaa4 nt!ViCreateProcessCallbackInternal (ViCreateProcessCallbackInternal) |
|  | fffff802`55f04550 nt!NtCreateProcessEx (NtCreateProcessEx) |
|  | fffff802`55fd1ce0 nt!VerifierPsSetCreateProcessNotifyRoutineEx (VerifierPsSetCreateProcessNotifyRoutineEx) |
|  | fffff802`559f4bf0 nt!ZwCreateProcessEx (ZwCreateProcessEx) |
|  | fffff802`56349360 nt!pXdvPsSetCreateProcessNotifyRoutineEx = type information> |
|  | fffff802`55cfd12c nt!PspValidateCreateProcessProtection (PspValidateCreateProcessProtection) |
|  | fffff802`55d89ea0 nt!PsSetCreateProcessNotifyRoutineEx (PsSetCreateProcessNotifyRoutineEx) |
|  | fffff802`5632e9d4 nt!PspCreateProcessNotifyRoutineCount = type information> |
|  | fffff802`55d89f00 nt!PsSetCreateProcessNotifyRoutineEx2 (PsSetCreateProcessNotifyRoutineEx2) |
|  | fffff802`5632e9d8 nt!PspCreateProcessNotifyRoutineExCount = type information> |
|  | fffff802`55d8a050 nt!PsSetCreateProcessNotifyRoutine (PsSetCreateProcessNotifyRoutine) |
|  | fffff802`55ed2e70 nt!MiCreateProcessDefaultAweInfo (MiCreateProcessDefaultAweInfo) |
|  | fffff802`55be0d1c nt!PspBuildCreateProcessContext (PspBuildCreateProcessContext) |
|  | fffff802`559f5970 nt!ZwCreateProcess (ZwCreateProcess) |
|  | fffff802`562ec260
最低0.47元/天 解锁文章
[虚幻私塾】
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows创建终止进程
10-25
windows创建终止进程,使用API函数创建终止进程,动态观察创建过程中的进程时间及其他参数!
进程创建进程终止
white_cloth的专栏
01-27 2053
进程创建进程终止 ▇以Solaris系统上的Sched进程理解进程创建 名词对照小贴士 pid 进程标志符。大多数操作系统根据一个唯一的pid来识别进程pid通常是个整数。 Solaris SunMicrosystems研发的计算机操作系统它被认为是UNIX操作系统的衍生版本之一 Sched
十种进程注入技术介绍:常见注入技术及趋势调查
Fly_鹏程万里
12-04 1469
前言 进程注入是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性,同时一些技术也实现了持久性。尽管目前有许多进程注入技术,但在这篇文章中,我将会介绍十种在野发现的,在另一个程序的地址空间执行恶意代码的进程注入技术,并提供这些技术应用的截图,以便于逆向工程和恶意软件分析,然后协助检测并防御这些进程注入技术。 一、...
CreateProcessWithLogonW
weixin_34106122的博客
01-19 542
Creates a new process and its primary thread. Then the new process runs the specified executable file in the security context of the specified credentials (user, domain, and password). It can optional...
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8115
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
线程的创建过程——PspCreateThread逆向分析
weixin_45678798的博客
08-01 1247
通过之前的分析NtCreateThread函数,可以看到线程的创建实际是在PspCreateThread中。在IDA交叉引用中可以看到仅仅被NtCreateThread和PsCreateSystemThread这两个函数调用,分别用于创建用户线程和系统线程对象。......
windowsXP 进程的一生
10-21
观察WindowsXP进程的一生,包括创建进程,观察进程终止进程,了解进程在操作系统中是怎样创建与运行的。
操作系统创建和关闭写字板进程
12-13
利用Windows提供的API函数,编写程序,实现进程创建终止(如创建写字板进程终止进程),加深对操作系统进程概念的理解,观察操作系统进程运行的动态性能,获得包含多进程的应用程序编程经验。
Windows提供的API函数
11-30
利用Windows提供的API函数,编写程序,实现进程创建终止(如创建写字板进程终止进程),加深对操作系统进程概念的理解,观察操作系统进程运行的动态性能,获得包含多进程的应用程序编程经验。
Windows 2000进程控制
06-29
Windows创建的每个进程都从调用CreateProcess() API函数开始,该函数的任务是在对象管理器子系统内初始化进程对象。每一进程都以调用ExitProcess() 或TerminateProcess() API函数终止。通常应用程序的框架负责调用...
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3275
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
内存管理(3)用户空间内存管理&内存区对象
Returns' Station
05-13 3901
进程内存管理 MmCreateProcessAddressSpace 初始化进程的系统空间部分 1.先做一些检查,检查系统是否有足够的页面 2.申请四个物理页面分别用于:页目录,超空间页表,VAD位图,工作集链表 3.初始化EPROCESS中的一些结构_MMSUPPORT Vm.MinimumWorkingSetSize; DirectoryTableBase WorkingSet
Windows软件调试学习笔记(二)—— 调试事件的采集
qq_41988448的博客
07-28 630
软件调试学习笔记(二)—— 调试事件的采集要点回顾调试事件的种类调试事件采集函数例:分析PspUserThreadStartup例:分析PspExitThread总结 要点回顾 调试器与被调试进程通过DEBUG_OBJECT结构体建立联系。 DEBUG_OBJECT中有一个链表成员,用于记录所有调试事件。 当被调试进程产生调试事件时,调试器从链表中取出调试事件进行处理。 思考:是否所有的调试事件都会被记录到链表中? 答案:调试事件有不同种类,只有几个最关键的种类才会被记录到链表中,例如被调试进程进行文
进程线程创建过程
hambaga的博客
03-10 1793
一、进程创建过程 所有进程都通过 PspCreateProcess 函数创建,包括 System 进程。它被三个函数调用,分别是NtCreateProcessEx、PsCreateSystemProcess 和 PspInitPhase0 。 NtCreateProcessEx 是 CreateProcess 的内核服务; PspInitPhase0 函数是系统初始化早期调用的,它创建了 System 进程,System 进程的句柄保存在全局变量 PspInitialSystemProcessHandle
进程创建函数CreateProcess()与创建流程详解
weixin_34303897的博客
11-22 1131
本文由2部分组成:第一部分解析CreateProcess() 的进程创建流程,第二部分翻译MSDN 站点上关于CreateProcess() 的各种参数的解释与用法,最后给出编程实例CreateProcess*() 系列函数是 32位 Windows 7 平台下用于创建进程的函数。Kernel32.dll 中导出的CreateProcess*() 函数有:CreateP...
CreateProcess 内部实现
点点灵犀
02-19 2804
*ReactOS学习笔记* CreateProcess 内部实现 调用CreateProcessW    调用CreateProcessInternalW       参数检查       获取进程文件路径       调用BasepMapFile映射文件(内部调用NtCreateSection)       判断是否是一个DLL文件       判断子系统类型(只能是
天灵灵,地灵灵,但愿这个一定灵!!!python调用win32api,启动应用程序窗口...
weixin_34199405的博客
03-05 129
这个是逼到没办法,C#那一套,一点基本没有。 还好,网上找到例程,可以指定帐户启动进程,但愿可以摆脱WIN SERVICE启动产生的SESSION 0 隔离问题。 因为这个问题,以SERVICE启动的进程程序,没办法打开正常的程序窗口。 from ctypes import * from ctypes.wintypes import * INVALID_HANDLE_VALUE...
CreateProcessAsUser和CreateProcessWithLogonW的简单案列
热门推荐
qq_34227896的博客
02-18 2万+
介绍6种比较常用的运行(执行)程序的方法: 包括WinExec、ShellExecute、CreateProcess、CreateProcessAsUser、CreateProcessWithLogonW、CreateProcessWithTokenW 一、CreateProcessAsUser创建一个新进程及其主线程。 1、创建当前登录(活跃)用户下的进程 // pch.cpp: ...
windows进程和子进程
最新发布
05-21
当一个进程创建了一个子进程时,子进程将继承父进程的许多属性,例如环境变量、文件句柄和安全上下文等。 此外,父进程还有权终止进程的执行。当父进程终止时,子进程也会被终止。但是,子进程可以选择忽略父进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

[虚幻私塾】

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值