Csrss.exe初始化源代码分析

于 2024-08-13 20:58:56 发布
阅读量907 收藏 8
点赞数 15
分类专栏: nt4源代码分析 文章标签: Csrss.exe 初始化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oldlinux/article/details/141173677
版权

Csrss.exe初始化源代码分析

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"=%SystemRoot%\system32\csrss.exe

ObjectDirectory=\Windows SharedSection=1024,3072,512

Windows=On SubSystemType=Windows

ServerDll=basesrv,1
ServerDll=winsrv:UserServerDllInitialization,3

ServerDll=winsrv:ConServerDllInitialization,2

ProfileControl=Off MaxRequestThreads=16

ServerDll等号后面是动态库的文件名,如basesrv.dll。逗号后面的是这个库注册的序号。如basesrv.dll的就是1

          冒号后面的名字是子系统加载这个动态库时候调用的函数名,如果没有提供,就默认是“ServerDllInitialization”

上面说到注册,子系统csrss.exe用一个数组来保存这些注册的动态库。

这个数组名叫 CsrLoadedServerDll,这个变量是在csrsrv.dll中,一共只有4个元素。

每个元素是一个_CSR_SERVER_DLL结构。包括上面注册表提供的3个,再加上csrss.exe初始化时,提供的一个序号0的元素,一共4个。

其实csrss只是一个外壳,很多处理函数都是在csrsrv.dll中。

csrss.exe在初始化时候,调用csrsrv.dll的导出函数

 int __stdcall CsrServerInitialization(unsigned int argc, char **argv)

{

//这个函数里面会创建那个核心LPC端口"\\Windows\\ApiPort",

并且会创建一个线程CsrApiRequestThread专门来处理来自这个端口的各种LPC请求

  int __stdcall CsrApiPortInitialize();

//这个函数里面会创建LPC端口"\\Windows\\SbApiPort",

并且会创建一个线程CsrSbApiRequestThread专门来处理来自这个端口的各种LPC请求

   int __stdcall CsrSbApiPortInitialize();

int __stdcall CsrParseServerCommandLine(unsigned int argc, char **argv)

}

CsrParseServerCommandLine就会解析上面注册表提供的参数。

逐个加载进来。并为每个dll申请一个_CSR_SERVER_DLL结构。

接着调用dll提供的初始化函数,如上面注册表的就是那些冒号后面的函数。

参数就是_CSR_SERVER_DLL结构。

这样每个dll都可以有一次初始化提供自己私有数据初始化_CSR_SERVER_DLL结构的机会。

最重要的一个私有数据字段是_CSR_SERVER_DLL->ApiDispatchTable。

这个字段指明一个函数分发表。

以后"\\Windows\\ApiPort" 这个LPC有请求的时候,一般客户端发起请求是,是调用下面的函数:CsrClientCallServer()

Status = CsrClientCallServer(

&m,
CaptureBuffer,
CSR_MAKE_API_NUMBER( CSRSRV_SERVERDLL_INDEX,CsrpClientConnect),
sizeof( *a )
);

CsrApiRequestThread会根据其中的APINUMBER来索引对应的_CSR_SERVER_DLL结构。

和_CSR_SERVER_DLL->ApiDispatchTable[xxx]处理函数,所以这个apinumber比较特殊,它能够索引对应的dll和对应的分发处理函数。

所以winsrv.dll里面有两个重要的保存函数的表:ConsoleServerApiDispatchTable(控制台管理),UserServerApiDispatchTable(终端登录之类)。

最后我们发现basesrv.DLL也存在一张保存函数的表:BaseServerApiDispatchTable,

Csrsrv.dll存在CsrServerApiDispatchTable这张表。

        四个分发表序号如下:

        CsrServerApiDispatchTable:0

        BaseServerApiDispatchTable:1

        ConsoleServerApiDispatchTable:2

        UserServerApiDispatchTable:3

第一部分:

base/win32/csrss/csrss.c文件中的main()函数调用

base/win32/server/srvinit.c文件中的CsrServerInitialization()函数

int

_cdecl

main(

    IN ULONG argc,

    IN PCH argv[],

    IN PCH envp[],

    IN ULONG DebugFlag OPTIONAL

    )

{

    NTSTATUS Status;

    ULONG ErrorResponse;

    KPRIORITY SetBasePriority;

    SetBasePriority = FOREGROUND_BASE_PRIORITY + 4;

    Status = NtSetInformationProcess (NtCurrentProcess(),

                                      ProcessBasePriority,

                                      (PVOID) &SetBasePriority,

                                      sizeof(SetBasePriority));

    ASSERT (NT_SUCCESS (Status));

    Status = CsrServerInitialization( argc, argv );

    if (!NT_SUCCESS( Status )) {

        IF_DEBUG {

    DbgPrint( "CSRSS: Unable to initialize server.  status == %X\n",

      Status

                    );

        }

NtTerminateProcess( NtCurrentProcess(), Status );

    }

    DisableErrorPopups();

    if (NtCurrentPeb()->SessionId == 0) {

        //

        // Make terminating the root csrss fatal

        //

        RtlSetProcessIsCritical(TRUE, NULL, FALSE);

    }

    NtTerminateThread( NtCurrentThread(), Status );

    return( 0 );

}

第二部分:

base/win32/server/srvinit.c

CsrParseServerCommandLine()函数

// Though this function does not seem to cleanup on failure, failure

// will cause CSRSS to exit, so any allocated memory will be freed and

// any open handle will be closed.

NTSTATUS

CsrServerInitialization(

    IN ULONG argc,

    IN PCH argv[]

    )

{

    NTSTATUS Status;

    ULONG i;

    PVOID ProcessDataPtr;

    PCSR_SERVER_DLL LoadedServerDll;

#if DBG

    BOOLEAN bIsRemoteSession =  NtCurrentPeb()->SessionId != 0;

#endif

    //

    // Initialize Wow64 stuffs

    //

#ifdef _WIN64

    InitializeWow64OnBoot(1);

#endif

    //

    // Save away system information in a global variable

    //

    Status = NtQuerySystemInformation( SystemBasicInformation,

                                       &CsrNtSysInfo,

                                       sizeof( CsrNtSysInfo ),

                                       NULL

                                     );

    ASSERT( NT_SUCCESS( Status ) || bIsRemoteSession );

    if (!NT_SUCCESS( Status )) {

        return Status;

    }

    //

    // Use the process heap for memory allocation.

    //

    CsrHeap = RtlProcessHeap();

    CsrBaseTag = RtlCreateTagHeap( CsrHeap,

                                   0,

                                   L"CSRSS!",

                                   L"TMP\0"

                                   L"INIT\0"

                                   L"CAPTURE\0"

                                   L"PROCESS\0"

                                   L"THREAD\0"

                                   L"SECURITY\0"

                                   L"SESSION\0"

                                   L"WAIT\0"

                                 );

    //

    // Set up CSRSS process security

    //

    Status = CsrSetProcessSecurity();

    ASSERT(NT_SUCCESS(Status) || bIsRemoteSession);

    if (!NT_SUCCESS(Status)) {

        return Status;

    }

    //

    // Initialize the Session List

    //

    Status = CsrInitializeNtSessionList();

    ASSERT(NT_SUCCESS(Status) || bIsRemoteSession);

    if (!NT_SUCCESS(Status)) {

        return Status;

    }

    //

    // Initialize the Process List

    //

    Status = CsrInitializeProcessStructure();

    ASSERT(NT_SUCCESS(Status) || bIsRemoteSession);

    if (!NT_SUCCESS(Status)) {

        return Status;

    }

    //

    // Process the command line arguments

    //

    Status = CsrParseServerCommandLine(argc, argv);

    ASSERT(NT_SUCCESS(Status) || bIsRemoteSession);

    if (!NT_SUCCESS(Status)) {

        return Status;

    }

#if DBG

    Status = RtlInitializeCriticalSection(&CsrTrackLpcLock);

    if (!NT_SUCCESS(Status)) {

        return Status;

    }

    LpcTrackIndex = 0;

#endif

    //

    // Fix up per-process data for root process

    //

    ProcessDataPtr = (PCSR_PROCESS)RtlAllocateHeap( CsrHeap,

                                                    MAKE_TAG( PROCESS_TAG ) | HEAP_ZERO_MEMORY,

                                                    CsrTotalPerProcessDataLength

                                                  );

    if (ProcessDataPtr == NULL) {

                return STATUS_NO_MEMORY;

    }

    for (i=0; i<CSR_MAX_SERVER_DLL; i++) {

        LoadedServerDll = CsrLoadedServerDll[ i ];

        if (LoadedServerDll && LoadedServerDll->PerProcessDataLength) {

            CsrRootProcess->ServerDllPerProcessData[i] = ProcessDataPtr;

            ProcessDataPtr = (PVOID)QUAD_ALIGN((PCHAR)ProcessDataPtr + LoadedServerDll->PerProcessDataLength);

        }

        else {

            CsrRootProcess->ServerDllPerProcessData[i] = NULL;

        }

    }

    //

    // Let server dlls know about the root process.

    //

    for (i=0; i<CSR_MAX_SERVER_DLL; i++) {

        LoadedServerDll = CsrLoadedServerDll[ i ];

        if (LoadedServerDll && LoadedServerDll->AddProcessRoutine) {

            (*LoadedServerDll->AddProcessRoutine)( NULL, CsrRootProcess );

        }

    }

    //

    // Initialize the Windows Server API Port, and one or more

    // request threads.

    //

    Status = CsrApiPortInitialize();

    ASSERT( NT_SUCCESS( Status ) || bIsRemoteSession );

    if (!NT_SUCCESS( Status )) {

                return Status;

        }

    //

    // Initialize the Server Session Manager API Port and one

    // request thread.

    //

    Status = CsrSbApiPortInitialize();

    ASSERT( NT_SUCCESS( Status ) || bIsRemoteSession);

    if (!NT_SUCCESS( Status )) {

                return Status;

        }

    //

    // Connect to the session manager so we can start foreign sessions

    //

    Status = SmConnectToSm( &CsrSbApiPortName,

                            CsrSbApiPort,

                            IMAGE_SUBSYSTEM_WINDOWS_GUI,

                            &CsrSmApiPort

                          );

    ASSERT( NT_SUCCESS( Status ) || bIsRemoteSession );

    if (!NT_SUCCESS( Status )) {

                return Status;

        }

    //

    //  Only on Console (HYDRA)

    //

    if (NtCurrentPeb()->SessionId == 0) {

        Status = NtSetDefaultHardErrorPort(CsrApiPort);

    }

    return( Status );

}

第三部分:

base/win32/server/srvinit.c

NTSTATUS

CsrParseServerCommandLine(

    IN ULONG argc,

    IN PCH argv[]

    )

{

    NTSTATUS Status;

    OBJECT_ATTRIBUTES ObjectAttributes;

    ULONG i, ServerDllIndex;

    PCH KeyName, KeyValue, s;

    PCH InitRoutine;

    CsrTotalPerProcessDataLength = 0;

    CsrObjectDirectory = NULL;

    CsrMaxApiRequestThreads = CSR_MAX_THREADS;

    SessionId = NtCurrentPeb()->SessionId;

    //

    // Create session specific object directories

    //

    Status = CsrCreateSessionObjectDirectory ( SessionId );

    if (!NT_SUCCESS(Status)) {

       if (SessionId == 0) {

           ASSERT( NT_SUCCESS( Status ) );

           DbgPrint("CSRSS: CsrCreateSessionObjectDirectory failed status = %lx\n", Status);

       } else {

           DbgPrint("CSRSS: CsrCreateSessionObjectDirectory failed status = %lx\n", Status);

           return Status;

       }

    }

    for (i=1; i<argc ; i++) {

        KeyName = argv[ i ];

        KeyValue = NULL;

        while (*KeyName) {

            if (*KeyName == '=') {

                *KeyName++ = '\0';

                KeyValue = KeyName;

                break;

                }

            KeyName++;

            }

        KeyName = argv[ i ];

        if (!_stricmp( KeyName, "ObjectDirectory" )) {

            ANSI_STRING AnsiString;

            ULONG attributes;

            CHAR SessionDirectory[MAX_SESSION_PATH];

            if (SessionId != 0) {

                //

                // Non-Console session

                //

                _snprintf(SessionDirectory, sizeof (SessionDirectory), "%ws\\%ld%s", SESSION_ROOT, SessionId, KeyValue);

                SessionDirectory[MAX_SESSION_PATH-1] = '\0';

            }

            //

            // Create an object directory in the object name space with the

            // name specified.   It will be the root for all object names

            // created by the Server side of the Client Server Runtime

            // SubSystem.

            //

            attributes =  OBJ_OPENIF | OBJ_CASE_INSENSITIVE;

            if (SessionId == 0) {

               attributes |= OBJ_PERMANENT;

               RtlInitString( &AnsiString, KeyValue );

            } else {

               RtlInitString( &AnsiString, SessionDirectory );

            }

            Status = RtlAnsiStringToUnicodeString( &CsrDirectoryName, &AnsiString, TRUE );

            ASSERT(NT_SUCCESS(Status) || SessionId != 0);

            if (!NT_SUCCESS( Status )) {

                break;

            }

            InitializeObjectAttributes( &ObjectAttributes,

                                        &CsrDirectoryName,

                                        attributes,

                                        NULL,

                                        NULL

                                      );

            Status = NtCreateDirectoryObject( &CsrObjectDirectory,

                                              DIRECTORY_ALL_ACCESS,

                                              &ObjectAttributes

                                            );

            if (!NT_SUCCESS( Status )) {

                break;

                }

            Status = CsrSetDirectorySecurity( CsrObjectDirectory );

            if (!NT_SUCCESS( Status )) {

                break;

                }

            }

        else

        if (!_stricmp( KeyName, "SubSystemType" )) {

            }

        else

        if (!_stricmp( KeyName, "MaxRequestThreads" )) {

            Status = RtlCharToInteger( KeyValue,

                                       0,

                                       &CsrMaxApiRequestThreads

                                     );

            }

        else

        if (!_stricmp( KeyName, "RequestThreads" )) {

#if 0

            Status = RtlCharToInteger( KeyValue,

                                       0,

                                       &CsrNumberApiRequestThreads

                                     );

#else

            //

            // wait until hive change !

            //

            Status = STATUS_SUCCESS;

#endif

            }

        else

        if (!_stricmp( KeyName, "ProfileControl" )) {

            }

        else

        if (!_stricmp( KeyName, "SharedSection" )) {

            Status = CsrSrvCreateSharedSection( KeyValue );

            if (!NT_SUCCESS( Status )) {

                IF_DEBUG {

                    DbgPrint( "CSRSS: *** Invalid syntax for %s=%s (Status == %X)\n",

                              KeyName,

                              KeyValue,

                              Status

                            );

                    }

                                return Status;

                }

            Status = CsrLoadServerDll( "CSRSS", NULL, CSRSRV_SERVERDLL_INDEX );

            }

        else

        if (!_stricmp( KeyName, "ServerDLL" )) {

            s = KeyValue;

            InitRoutine = NULL;

            Status = STATUS_INVALID_PARAMETER;

            while (*s) {

                if ((*s == ':') && (InitRoutine == NULL)) {

                    *s++ = '\0';

                    InitRoutine = s;

                }

                if (*s++ == ',') {

                    Status = RtlCharToInteger ( s, 10, &ServerDllIndex );

                    if (NT_SUCCESS( Status )) {

                        s[ -1 ] = '\0';

                        }

                    break;

                    }

                }

            if (!NT_SUCCESS( Status )) {

                IF_DEBUG {

                    DbgPrint( "CSRSS: *** Invalid syntax for ServerDll=%s (Status == %X)\n",

                              KeyValue,

                              Status

                            );

                    }

                }

            else {

                IF_CSR_DEBUG( INIT) {

                    DbgPrint( "CSRSS: Loading ServerDll=%s:%s\n", KeyValue, InitRoutine );

                    }

                Status = CsrLoadServerDll( KeyValue, InitRoutine, ServerDllIndex);

                if (!NT_SUCCESS( Status )) {

                    IF_DEBUG {

                        DbgPrint( "CSRSS: *** Failed loading ServerDll=%s (Status == 0x%x)\n",

                                  KeyValue,

                                  Status

                                );

                        }

                    return Status;

                    }

                }

            }

        else

        //

        // This is a temporary hack until Windows & Console are friends.

        //

        if (!_stricmp( KeyName, "Windows" )) {

            }

        else {

            Status = STATUS_INVALID_PARAMETER;

            }

        }

    return( Status );

}

第四部分:

base/subsys/csr/server/srvloadr.c:122:CsrLoadServerDll(

NTSTATUS

CsrLoadServerDll(

    IN PCH ModuleName,

    IN PCH InitRoutineString,

    IN ULONG ServerDllIndex

    )

{

    NTSTATUS Status;

    ANSI_STRING ModuleNameString;

    UNICODE_STRING ModuleNameString_U;

    HANDLE ModuleHandle;

    PCSR_SERVER_DLL LoadedServerDll;

    STRING ProcedureNameString;

    PCSR_SERVER_DLL_INIT_ROUTINE ServerDllInitialization;

    ULONG n;

    if (ServerDllIndex >= CSR_MAX_SERVER_DLL) {

        return( STATUS_TOO_MANY_NAMES );

        }

    if (CsrLoadedServerDll[ ServerDllIndex ] != NULL) {

        return( STATUS_INVALID_PARAMETER );

        }

    ASSERT( ModuleName != NULL );

    RtlInitAnsiString( &ModuleNameString, ModuleName );

    if (ServerDllIndex != CSRSRV_SERVERDLL_INDEX) {

        Status = RtlAnsiStringToUnicodeString(&ModuleNameString_U, &ModuleNameString, TRUE);

        if (!NT_SUCCESS(Status)) {

            return Status;

            }

        Status = LdrLoadDll( UNICODE_NULL, NULL, &ModuleNameString_U, &ModuleHandle );

        if ( !NT_SUCCESS(Status) ) {

            PUNICODE_STRING ErrorStrings[2];

            UNICODE_STRING ErrorDllPath;

            ULONG ErrorResponse;

            NTSTATUS ErrorStatus;

            ErrorStrings[0] = &ModuleNameString_U;

            ErrorStrings[1] = &ErrorDllPath;

            RtlInitUnicodeString(&ErrorDllPath,L"Default Load Path");

            //

            // need to get image name

            //

            ErrorStatus = NtRaiseHardError(

                            (NTSTATUS)STATUS_DLL_NOT_FOUND,

                            2,

                            0x00000003,

                            (PULONG_PTR)ErrorStrings,

                            OptionOk,

                            &ErrorResponse

                            );

            }

        RtlFreeUnicodeString(&ModuleNameString_U);

        if (!NT_SUCCESS( Status )) {

            return( Status );

            }

        }

    else {

        ModuleHandle = NULL;

        }

    n = sizeof( *LoadedServerDll ) + ModuleNameString.MaximumLength;

    LoadedServerDll = RtlAllocateHeap( CsrHeap, MAKE_TAG( INIT_TAG ), n );

    if (LoadedServerDll == NULL) {

        if (ModuleHandle != NULL) {

            LdrUnloadDll( ModuleHandle );

            }

        return( STATUS_NO_MEMORY );

        }

    RtlZeroMemory( LoadedServerDll, n );

    LoadedServerDll->SharedStaticServerData = CsrSrvSharedSectionHeap;

    LoadedServerDll->Length = n;

    LoadedServerDll->ModuleName.Length = ModuleNameString.Length;

    LoadedServerDll->ModuleName.MaximumLength = ModuleNameString.MaximumLength;

    LoadedServerDll->ModuleName.Buffer = (PCH)(LoadedServerDll+1);

    if (ModuleNameString.Length != 0) {

        strncpy( LoadedServerDll->ModuleName.Buffer,

                 ModuleNameString.Buffer,

                 ModuleNameString.Length

               );

        }

    LoadedServerDll->ServerDllIndex = ServerDllIndex;

    LoadedServerDll->ModuleHandle = ModuleHandle;

    if (ModuleHandle != NULL) {

        RtlInitString(

            &ProcedureNameString,

            (InitRoutineString == NULL) ? "ServerDllInitialization" : InitRoutineString);

        Status = LdrGetProcedureAddress( ModuleHandle,

                                         &ProcedureNameString,

                                         0,

                                         (PVOID *) &ServerDllInitialization

                                       );

        }

    else {

        ServerDllInitialization = CsrServerDllInitialization;

        Status = STATUS_SUCCESS;

        }

    if (NT_SUCCESS( Status )) {

        try {

            Status = (*ServerDllInitialization)( LoadedServerDll );

            }

        except ( CsrUnhandledExceptionFilter( GetExceptionInformation() ) ){

            Status = GetExceptionCode();

            }

        if (NT_SUCCESS( Status )) {

            CsrTotalPerProcessDataLength += (ULONG)QUAD_ALIGN(LoadedServerDll->PerProcessDataLength);

            CsrLoadedServerDll[ LoadedServerDll->ServerDllIndex ] =

                LoadedServerDll;

            if ( LoadedServerDll->SharedStaticServerData != CsrSrvSharedSectionHeap ) {

                CsrSrvSharedStaticServerData[LoadedServerDll->ServerDllIndex] = LoadedServerDll->SharedStaticServerData;

                }

            }

        else {

            if (ModuleHandle != NULL) {

                LdrUnloadDll( ModuleHandle );

                }

            RtlFreeHeap( CsrHeap, 0, LoadedServerDll );

            }

        }

    else {

        if (ModuleHandle != NULL) {

            LdrUnloadDll( ModuleHandle );

            }

        RtlFreeHeap( CsrHeap, 0, LoadedServerDll );

        }

    return( Status );

}

第五部分:

base/subsys/csr/server/sbinit.c:123:CsrSbApiPortInitialize( VOID )

NTSTATUS

CsrSbApiPortInitialize( VOID )

{

    NTSTATUS Status;

    OBJECT_ATTRIBUTES ObjectAttributes;

    HANDLE Thread;

    CLIENT_ID ClientId;

    ULONG n;

    PSECURITY_DESCRIPTOR pCsrSbApiPortSD;

    n = CsrDirectoryName.Length +

        sizeof( CSR_SBAPI_PORT_NAME ) +

        sizeof( OBJ_NAME_PATH_SEPARATOR );

    CsrSbApiPortName.Buffer = RtlAllocateHeap( CsrHeap, MAKE_TAG( INIT_TAG ), n );

    if (CsrSbApiPortName.Buffer == NULL) {

        return( STATUS_NO_MEMORY );

        }

    CsrSbApiPortName.Length = 0;

    CsrSbApiPortName.MaximumLength = (USHORT)n;

    RtlAppendUnicodeStringToString( &CsrSbApiPortName, &CsrDirectoryName );

    RtlAppendUnicodeToString( &CsrSbApiPortName, L"\\" );

    RtlAppendUnicodeToString( &CsrSbApiPortName, CSR_SBAPI_PORT_NAME );

    IF_CSR_DEBUG( LPC ) {

        DbgPrint( "CSRSS: Creating %wZ port and associated thread\n",

                  &CsrSbApiPortName );

        }

    Status = CsrCreateLocalSystemSD( &pCsrSbApiPortSD );

    if (!NT_SUCCESS(Status)) {

        return Status;

    }

    InitializeObjectAttributes( &ObjectAttributes, &CsrSbApiPortName, 0,

                                NULL, pCsrSbApiPortSD );

    Status = NtCreatePort( &CsrSbApiPort,

                           &ObjectAttributes,

                           sizeof( SBCONNECTINFO ),

                           sizeof( SBAPIMSG ),

                           sizeof( SBAPIMSG ) * 32

                         );

    if (pCsrSbApiPortSD != NULL) {

        RtlFreeHeap( CsrHeap, 0, pCsrSbApiPortSD );

    }

    if (!NT_SUCCESS(Status)) {

        return Status;

    }

    Status = RtlCreateUserThread( NtCurrentProcess(),

                                  NULL,

                                  TRUE,

                                  0,

                                  0,

                                  0,

                                  CsrSbApiRequestThread,

                                  NULL,

                                  &Thread,

                                  &ClientId

                                );

    if (!NT_SUCCESS(Status)) {

        return Status;

    }

    CsrSbApiRequestThreadPtr = CsrAddStaticServerThread(Thread,&ClientId,0);

    Status = NtResumeThread( Thread, NULL );

    return( Status );

}

第六部分:

base/win32/server/srvinit.c

NTSTATUS

CsrServerDllInitialization(

    IN PCSR_SERVER_DLL LoadedServerDll

    )

{

    LoadedServerDll->ApiNumberBase = CSRSRV_FIRST_API_NUMBER;

    LoadedServerDll->MaxApiNumber = CsrpMaxApiNumber;

    LoadedServerDll->ApiDispatchTable = CsrServerApiDispatchTable;

    LoadedServerDll->ApiServerValidTable = CsrServerApiServerValidTable;

#if DBG

    LoadedServerDll->ApiNameTable = CsrServerApiNameTable;

#endif

    LoadedServerDll->PerProcessDataLength = 0;

    LoadedServerDll->ConnectRoutine = NULL;

    LoadedServerDll->DisconnectRoutine = NULL;

    return( STATUS_SUCCESS );

}

windows环境下的自保护探究
hongduilanjun的博客
09-14 1490
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
csrss弹出的ASSERT对话框谈起
lzz14的专栏
04-18 4874
 昨天遇到一件怪事,在进行远程线程注入的时候从csrss进程中竟然弹出了vc的ASSERT对话框。根据对话框提示信息找到了断言的位置在mfc的auxdata.cpp的第95行代码:void AUX_DATA::UpdateSysMetrics(){ // System metrics cxIcon = GetSystemMetrics(SM_CXICON); cyIcon = GetSyste
csrss.exe病毒专杀
07-01
自动播放、改时间、卡巴斯基变灰、删regedit.exe、拦截窗口等,此类病毒专杀,并能免疫防御。
关键字:csrss.exe cpu 100%
木野狐@CSDN Blog
12-17 2976
操作系统:Windows Server 2003现象:在桌面、文件、文件夹等处点击右键,弹出的菜单上,如果有二级菜单,那么只要你把鼠标晃到那个向右的小箭头上,机器就会卡死 接近半分钟。这个时候按 Alt + Ctrl + Del 都不会有反映。点到其他地方是可以的。如果开始菜单使用的是经典风格,那么是能够正常弹出的;如果使用了 XP 以后的新风格,则鼠标晃到其上的小箭头一样会卡死。经过多次
csrss.exe介绍
QQ476118737的专栏
08-05 935
csrss.exe,系统进程,是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要,但也有可能是W32.Netsky.AB@mm等病毒创建的。 进程:csrss.execsrss   进程文件:csrssor csrss.exe   进程名称:Microsoft Client/ServerRuntime Subsystem   进程类别:其他进程
漏洞C:/Windows/Fonts/csrss.exe文件找不到简单查找方法
XiaoXiao_RenHe的专栏
01-08 1157
安全报警csrss.exe存放位置,但目录下找不到该文件,简单查找方法
Windows系统缺失wpnapps.dll文件如何解决?
amio555的专栏
07-03 722
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wpnapps.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wpnapps.dll丢失要怎么解决?
无敌进程技术揭秘:模拟系统关键进程smss.exe
smss.exe在系统启动时会启动,负责创建系统环境变量、初始化NT子系统环境、创建Win32子系统进程Wininit.exe和Windows子系统进程csrss.exe等。它是系统中非常重要的进程之一,当smss.exe崩溃或者被强制结束时,系统会...
从零开始掌握Windows内核源码:启动流程到系统初始化深度剖析
本文详细阐述了Windows内核源码的入门知识,深入分析了Windows的启动流程和系统初始化过程。从POST和Bootloader的启动阶段概述到硬件抽象层(HAL)的初始化,再到内核与用户模式的初始化过程,本文为读者提供了一个...
Windows NT引导过程源代码分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-11 5838
Windows 引导过程 Windows 内核中的各个组件和各种机制在起作用以前,必须首先被初始化。此初始化工作是在系统引导时完成的。当用户打开计算机的电源开关时,计算机便开始运行,但操作系统并不立即获得控制权,而是BIOS 代码首先获得控制,它执行必要的硬件检测工作,并允许用户通过一些功能键来配置当前系统中的硬件设置,甚至诊断硬件问题,然后才将控制权交给操作系统。 1.1 内核加载 在In
win7,win10注入CSRSS 不蓝屏
04-22
winXp,win7 32 , win7 64 ,win10注入CSRSS蓝屏 这是一个重要的进程,他会随系统的启动而自动开启并一直运行。在大多数情况下它是安全的,你不应该将其终止;但也有与其类似的病毒出现
注入CSRSS 亲测有效 不蓝屏
05-06
注入CSRSS 亲测有效 不蓝屏 `````````````````````````````````````````
csrss.exe文件丢失导致程序无法运行问题
最新发布
2301_76755223的博客
05-22 505
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个csrss.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现csrss.exe丢失要怎么解决?
什么是Csrss.exe进程?此进程有何作用?
u010869338的专栏
06-09 4399
今天一网友发信息给小编说,他打开计算机后在资源管理器里面看到一个进程:“Csrss.exe进程”,网友说其他进程都有描述信息,但是此进程并没描述信息,所以就问小编这个进程是不是病毒?其实不然,这个“Csrss.exe进程”是微软操作系统重要的核心进程,无论是xp系统、还是win7/win8系统,这个进程都是有的,“Csrss.exe进程”运行于所有基于Windows NT的操作系统。请往下看小编是
Win7系统提示找不到csrss.exe文件的解决办法
file
02-25 791
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个csrss.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现csrss.exe丢失要怎么解决?
csrss.exe
ProcessInfo的专栏
12-02 742
  进程知识库 csrss - csrss.exe - 进程信息进程文件: csrss 或者 csrss.exe进程名称: Microsoft Client/Server Runtime Server Subsystem  描述:csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:cs
Java伪装csrss_csrss.exe是什么进程,是病毒吗?
weixin_33108105的博客
02-27 267
你是否正在寻找关于csrss.exe是什么进程的内容?让我把最完美的东西奉献给你:csrss.exe是什么进程,是病毒吗?作者:佚名 字体:[ ] 来源:互联网 时间:05-01 22:21:46csrss.exe进程是电脑系统正常运行的程序,是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的我们打开任务管理器上会发现有几个csrss....
Csrss进程剖析
OSReact的专栏
07-12 3016
这几天想了解下神秘的进程csrss,在学习和了解的过程中就写下了自己对csrss进程的理解。    Csrss(客户端/服务器运行时子系统)是 Win32 子系统的用户模式部分,在桌面管理、终端登录、控制台管理、错误报告报告和DOS 虚拟机等方面起着重要作用,另外还监控着系统内所有Win32 子系统进程和线程的运行,进程的创建与退出,都需要通知Csrss。   图1是用内核工具xuetr观察C
csrss.exe病毒的清除方法
07-06 1794
csrss.exe病毒的清除方法,这里给出两个手动清除方法。 注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。首先先看下csrss.exe进程的说明: 进程文件:csrss or csrss.exe 进程名称:Client/Server Runtime Server Subsystem 进程类别:系统进程 进程描述:客户端服务子系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值