windows进程结构体

最新推荐文章于 2024-07-10 13:45:43 发布
最新推荐文章于 2024-07-10 13:45:43 发布
阅读量273 收藏 1
点赞数
分类专栏: 操作系统 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/131350252
版权

了解进程线程的概念后,我们就来看看windows里面的进程长什么样子的。进程本质上就是一个结构体。在Linux里面也称之为进程描述符。当操作系统创建一个进程的时候,它会填充一个结构体,往这个结构体里写入数据,这个结构体就用于管理这个进程了。

在windows里面,每个进程在0环都有一个结构体,也就是说这个结构体是在内核中创建的。这个结构体叫EPROCESS,里面包含了很多重要的信息。

想要查看这个结构体,我们可以使用windng的命令dt _EPROCESS来查看这个结构体,如图:

后面还有我就不截图了,我们只需要知道一些重要的结构体就可以了。看到第一个成员Pcb,它也是一个结构体。我们可以看看长什么样子:

 我们看到第三个成员DirectoryTableBase,这是个页目录表基址,这个成员非常重要,它能找到所有物理页地址。所谓的进程切换就是把这个页目录表基址填充到CR3,然后切换CR3去执行。接下来我们看这2个成员:

 他们分别表示当前的进程在内核运行的时间,和在用户态运行的时间。

 这个成员规定了进程里面所有的线程能在哪个CPU上跑,我们知道CPU是有很多核心的,而且是多线程的。像我换的新电脑线程数高达32个,如果值为1,那就是这个进程的所有线程只能在0号CPU上跑。比如1的二进制是(00000001),一个比特位代表一个CPU,只有第0号比特位是置1的因此只能在0号CPU上跑,32位系统最多能有32个核。

 这个成员叫基本优先级。当我们在进程中创建线程的时候都会参考这个优先级。

 我们接着回到EPROCESS这个结构体中去看

这两个成员分别是进程的创建时间和退出时间。

这个成员就是我们进程的身份证号码,也就是它的PID。在任务管理器里面看到的就是这个。

 

这个成员是一个双向链表,它把所有的活动进程都链接在一起,构成了一个链表。PsActiveProcessHead这个全局变量指向全局链表头。图示大概长这样:

 了解了这个我们可以通过一些手段进行进程隐藏。比如说你不想你的进程出现在任务管理器。通过遍历找到你的进程,然后修改前后指针。这样能做到一个简易的进程隐藏效果。

这两个成员跟物理页相关。

是用来统计当前进程所使用了哪些物理页 。我们知道每个程序都有自己独立的4GB内存空间(在32位系统中),但是不可能4GB全部都给你分配。用到哪些就分配哪些,这些记录就在这两个成员里。

 这三个成员就是跟虚拟内存的统计信息有关。

这个成员非常重要,和我们的内存管理那里是息息相关。它描述了我们内存空间中0-2GB还有哪些 地址没有被分配占用。这个成员指向了一个平衡二叉树,里面就记录了哪些分配了哪些没分配。

这两个成员跟调试相关。有兴趣可以查查资料。我只做简单介绍。 

 ObjectTable这是句柄表。

 在0x1b0这个位置的成员是一个Peb,这是三环描述进程的结构体。也就是给用户态用的。

大概的EPROCESS成员就介绍到这里。

call就不要ret
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
EPROCESS结构Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行文件。 EPROCESS结构Windows内核中的核心数据结构之一,它包含了关于进程的各种信息,如进程ID、安全上...
Windows进程和线程数据结构(下)
maomao171314的专栏
11-26 777
2 执行层的进程和线程对象 执行进程对象的数据结构EPROCESS,第一部分 Pcb : KPROCESS 内嵌结构 ProcessLock : 一个推锁(push lock)对象,用于保护EPROCESS中的数据成员 CreateTime : 进程的创建时间 ExitTime : 进程的退出时间 RundownProtect : 进程的停止保护锁。当一个进程到最后被销毁时,它要等到所有其他进程和线程以及释放了此锁,才可继续进行 UniqueProcessId : 进程的唯一编号.
win7 x64查询信息命令
weixin_46104215的博客
10-12 665
1.查询网络配置信息 ipconfig /all 2.查询操作系统及软件信息 (1)查询操作系统和版本信息(中文版操作系统) systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" (2)查看系统结构 echo %processor_architecture% (3)查看安装的软件及版本、路径等 WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具) ,提供了从命令行接口和批.
关于Windows内存结构
turboyuan的博客
11-07 201
一、 进程的虚拟地址空间 每个进程都有自己的虚拟地址空间。对于32位进程来说,这个地址空间的大小为4GB。对于64位进程来说,这个地址空间的大小为16EB。因为每个进程都有自己专属的地址空间,当进程中的各线程运行时,它们只能访问属于该进程的内存。线程既看不到属于其他的进程的内存,也无法访问它们。 虽然应用程序有这么大的地址空间可用,但是记住这只是虚拟地址空间——不是物理存储器。为了能够正常读/写数...
Windows进程数据结构及创建流程
gnimgnot
06-29 3586
数据结构 每个Windows进程都表现为一个executive进程(EPROCESS)结构,除了包括很多进程相关的属性外,还包括一些指针。比如,每个进程都有一个或多个线程,每个线程都是executive线程(ETHREAD)结构。 EPROCESS 和大多数与其相关的数据结构存在于系统的地址空间中,有一个例外是进程的环境块PEB(process environment block ),
C语言实现在windows服务中新建进程的方法
09-03
C语言可以通过Windows API来实现对服务的操作,包括在服务内部创建新的进程。下面我们将详细讨论如何在C语言中实现在Windows服务中新建进程的方法。 首先,创建Windows服务通常涉及到以下步骤: 1. 注册服务控制...
Windows创建进程例程
06-04
Windows操作系统中,进程是程序执行的实例,它包含了运行中的代码和该代码所使用的资源。本篇文章将深入探讨在Windows环境下创建进程的四种方法,特别是着重讲解`WinExec`和`CreateProcess`这两个API函数。 一、...
windows进程开发 启动程序,隐藏DOS窗口 创建一个进程等这个进程执行完毕再继续往下执行.zip
01-16
这部分涉及到`CreateProcess` API函数,它可以用来启动新的进程,并通过`STARTUPINFO`结构的`dwFlags`字段设置隐藏DOS窗口。此外,使用`WaitForSingleObject`或`WaitForMultipleObjects`函数可以等待指定进程的...
siginfo_t进程信息结构
06-01
进程信息结构路径:/usr/include/i386-linux-gnu/bits/siginfo.h,相关教程链接如下: http://blog.csdn.net/tennysonsky/article/details/46010303
【linux/shell】linux如何去除字符串中空格
qq_35902025的博客
07-06 416
linux如何去除字符串中空格 tr命令可以用来替换或删除字符 sed是一个流编辑器,可以用来处理文本
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
a15735748145a的博客
07-06 638
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
Linux_实现简易日志系统
安权_code的博客
07-07 977
在Linux下实现一个日志系统,该日志系统主要用于打印和记录程序的格式化信息,还可以对信息做分析处理,比如把信息分为五种类型:正常运行信息、测试信息,警告信息,错误信息、致命信息,当然还可以显示信息产生的具时间,并且能够对这些信息进行存档归类。
Linux workqueue介绍
l00102795的博客
07-08 876
不是所有的驱动程序都必须有自己的工作队列。驱动程序可以使用内核提供的缺省工作队列。由于这个工作队列由很多驱动程序共享,任务可能会需要比较长一段时间才能开始执行。为了解决这一问题,工作函数中的延迟应该保持最小或者不要延时。
Linux x86_64平台指令替换函数 text_poke_smp/bp
小立仔
07-05 913
Linux x86_64平台指令替换函数 text_poke_smp/bp简介
linux积累-core文件是干啥的
hebtu666
07-09 562
核心转储(core dump)文件是一个程序崩溃时所产生的文件,它记录了程序崩溃时的内存状态,包括程序计数器和寄存器内容等信息。此外,如果程序是在特定的库或者环境中运行时崩溃的,你可能还需要安装那些库的调试符号,并在调试器中设置相应的环境变量。: 当你有了核心转储文件后,你可以使用像GDB(GNU调试器)这样的调试器来分析它。首先,你需要确保你有相应的程序的带调试符号的可执行文件。: 根据调试器提供的信息,你可以检查源代码中可能导致问题的部分,例如无效的指针引用、数组越界或其他违反程序逻辑的操作。
Linux内核编译与调试menuos-linux-3.18.6-在ubuntu20.04环境
SIML
07-07 777
可能会遇到无compiler-gcc9.h文件的问题,可以在/include/linux目录直接复制一份文件。
【Linux】目录的相关命令——cd,pwd,mkdir,rmdir
2301_80224556的博客
07-08 932
此外,由于很多的软件所使用的目录名称都相同,例如/usr/local/etc和/etc,但是通常Linux仅列出最后面那一个目录而已,这个时候你就可以使用pwd 来知道你的所在目录,免得搞错目录,造成损失。
Android关闭SLinux
lmpt90的专栏
07-07 349
adb shell getenforce 查看当前 Selinux 状态是 permissive(关闭)还是 enforce(打开)的。adb shell setenforce 0 开Selinux:设置成模式permissive。adb shell setenforce 1 关Selinux:设置成模式enforce。调试Android的时候有时需要关闭Selinux验证问题。总结下关闭SELinux的方法。
Linux 例题及详解
最新发布
weixin_72040293的博客
07-10 610
Linux例题
windows C++ 命名管道进程通信 传结构
05-11
Windows 上,可以使用命名管道实现进程间通信。要传递结构,可以使用以下步骤: 1. 定义一个结构,例如: ```c typedef struct { int id; char name[20]; } Person; ``` 2. 在发送进程和接收进程中都创建一个命名管道,例如: ```c HANDLE hPipeSend = CreateNamedPipe("\\\\.\\pipe\\MyPipeSend", PIPE_ACCESS_OUTBOUND, PIPE_TYPE_MESSAGE | PIPE_READMODE_MESSAGE | PIPE_WAIT, PIPE_UNLIMITED_INSTANCES, sizeof(Person), sizeof(Person), 0, NULL); HANDLE hPipeRecv = CreateNamedPipe("\\\\.\\pipe\\MyPipeRecv", PIPE_ACCESS_INBOUND, PIPE_TYPE_MESSAGE | PIPE_READMODE_MESSAGE | PIPE_WAIT, PIPE_UNLIMITED_INSTANCES, sizeof(Person), sizeof(Person), 0, NULL); ``` 注意,这里的管道大小必须与结构大小相同。 3. 在发送进程中,将结构写入管道: ```c Person person = {1, "Alice"}; ConnectNamedPipe(hPipeSend, NULL); DWORD bytesWritten; WriteFile(hPipeSend, &person, sizeof(Person), &bytesWritten, NULL); ``` 4. 在接收进程中,从管道中读取结构: ```c Person person; ConnectNamedPipe(hPipeRecv, NULL); DWORD bytesRead; ReadFile(hPipeRecv, &person, sizeof(Person), &bytesRead, NULL); ``` 这样就可以在进程间传递结构了。当然,还需要注意一些细节,比如管道的连接和关闭等。完整的代码示例可以参考 Microsoft 的官方文档:https://docs.microsoft.com/en-us/windows/win32/ipc/named-pipe-client#using-a-named-pipe-to-send-a-message-from-the-client-to-the-server

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值