进程空间的格局的总结
- Windows用户进程空间的格局
- 用户进程的最低地址为MM_LOWEST_USER_ADDRESS即0x10000,最高地址为MM_HIGHEST_USER_ADDRESS即0x8000 0000 - 0x10000 - 1为用户空间可访问的最大地址
- 另外有一个特殊地址KI_USER_SHARED_DATA 在系统空间的0xffdf0000处 而用户是可以访问的 为此有一个指针SharedUserData可以访问到该地址 该地址起始的数据结构为KUSER_SHARED_DATA用以两个空间共享的一些核心数据!!!
- 为用户空间创建格局的中心函数是MmCreateProcessAddressSpace
- 首先调用MmInitializeAddressSpace初始化本进程的MADDRESS_SPACE结构 然后对于MM_HIGHEST_USER_ADDRESS开始的0x10000地址范围设置成NO_ACCESS属性
- 然后将飞地即SharedUserData+Page_Size之后的地址区间设置为不可访问 所以实际访问的是一个页面
- 如果存在可执行映像的文件映射区 调用MmMapViewOfSection将共享映射区代表的文件映射到以ImageBaseAddress开始的地址处
- peb即进程环境块的建立是通过MmCreatePeb建立的 内部调用MiCreatePebOrTeb为peb分配空间将环境块建立在0x7ffdf000处 然后由EPROCESS结构的域来初始化Peb 并根据可执行映像设置PEB中与EXE映像有关的字段 值得注意的是peb之后是存储堆的指针数组!!!
- 对peb的ProcessParameters域的初始化是非常重要的 它是由单独的函数来实施的 即BasepInitializeEnvironment
- 首先初始化四个重要的字符串即DllPath,ImageName,CommandLine,CurrentDirectory
- 然后调用RtlCreateProcessParameters准备好一个新的参数块并将之前的DllPath,ImageName,CommandLine,CurrentDirectory信息填入到其中
- 接着对ProcessParameters的Environment进行初始化将环境变量块写入新创建进程的用户空间中由于用用户自己管理 所以总是在0x10000处的地方
- 最后将ProcessParameters通过NtAllocateVirtualMemory和NtWriteVirtualMemory将参数块写入新创进程的用户空间中
- 线程的创建主要是BasepCreateFirstThread来进行 主要涉及到三步
- BasepCreateStack对于进程中的每个线程而言 最重要的就是堆栈 注意这里创建的是用户空间的堆栈 而不是系统堆栈
- 创建堆栈初始的提交大小和保留大小取决于系统的一些信息 对于为自身调用BasepCreateStack而言 采用的Reserve和Commit大小是可执行映像里的信息 对于不是为本身进程而言就需要使用NtQuerySystemInformation获取系统配置信息 用它的参数作为保留和提交大小(假如参数给定的提交和保留大小为
- BasepCreateStack对于进程中的每个线程而言 最重要的就是堆栈 注意这里创建的是用户空间的堆栈 而不是系统堆栈