createprocess背后发生了什么

最新推荐文章于 2025-03-11 09:15:00 发布
最新推荐文章于 2025-03-11 09:15:00 发布
阅读量292 收藏 6
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/145685349
版权

映射文件到内存中

createprocess函数会调用kernel32中的CreateProcessInternalW函数并检查参数和目标文件是否正确,根据结果执行必要操作后,ntdll中的NTCreateUserProcess会先创建程序的区域对象,创建区域对象时,文件并没有创建对应的内存映射关系,只有在调用mapviewoffile的时候才会创建文件到虚拟内存的映射关系,映射关系创建完成后,文件的内容也并没有被实际加载到内存,操作系统只是为文件分配了一个虚拟内存的空间并与文件相关联,等虚拟内存和物理内存建立关系后,操作系统在文件被访问时才会进行实际的内存映射。

画板

区域对象

区域对象在关联一个硬盘上具体的文件的时候代表的就是虚拟内存即将要映射的具体文件,调用mapviewoffile函数后操作系统才会真正将文件和虚拟内存的建立映射关系。建立了映射关系后可以理解成内核中出现了一张映射表,代表了从磁盘上某个文件到虚拟内存的映射关系,如果操作系统要加载文件到内存,则会按照这张表上的信息进行加载。但此时并没有发生任何实际的将文件载入内存的行为,只是产生了映射行为,生成了映射表。

当不关联磁盘上具体的文件时,区域对象就可以代表一段可共享的虚拟内存。

创建进程执行体对象和线程执行体对象

  1. NTCreateUserProcess调用PspAllocateProcess创建内核中的进程对象执行体,本质是创建eprocess(其中存在kprocess,pcb),创建ntdll.dll。
  2. NTCreateUserProcess接着会调用PspCreateThread函数来创建线程执行体对象,进而创建初始线程,不过此时这个线程是挂起状态。

画板

初始化windows子系统环境并启动初始线程

  1. 初始化windows子系统环境,收集SxS和软件策略等大量信息发送给csrss。让子系统知道是什么线程即将被启动。
  2. 如果指定了create_suspended,会停在这一步,如果是调试器模式,默认也会停在这一步,此时Ntdll.dll的LdrInitialThunk并未执行,进程的内存中只有ntdll.dll这一个dll。
  3. 从Ntdll.dll的LdrInitialThunk处启动初始线程,还会初始化用户空间执行环境例如初始化堆管理器,初始化IAT并加载必要的dll等工作。此时会有ntdll.dll中的各种ldr开头的函数参与,这种函数统称为映像加载函数.这些函数的最后一步是建立依赖项的关系图(dll与dll之间的依赖关系).
  4. 操作系统强行将线程的eip改为RtUserThreadStart函数的入口点,RtUserThreadStart函数的参数是用户希望线程真正执行的函数,和此函的参数。
  5. ntdll.dll中的RtUserThreadStart调用kernel32.dll中的BaseThreadInitThunk,将用户真正要执行的函数的参数压入栈中,然后调用用户真正希望执行的函数,一般是入口点函数。

画板

CreateProcess 内部实现
点点灵犀
02-19 2893
*ReactOS学习笔记* CreateProcess 内部实现 调用CreateProcessW    调用CreateProcessInternalW       参数检查       获取进程文件路径       调用BasepMapFile映射文件(内部调用NtCreateSection)       判断是否是一个DLL文件       判断子系统类型(只能是
操作系统核心知识点
wangzhipeng47的博客
07-30 2875
5万字、97 张图总结操作系统核心知识点 这不是一篇教你如何创建一个操作系统的文章,相反,这是一篇指导性文章,教你从几个方面来理解操作系统。首先你需要知道你为什么要看这篇文章以及为什么要学习操作系统。 搞清楚几个问题 首先你要搞明白你学习操作系统的目的是什么?操作系统的重要性如何?学习操作系统会给我带来什么?下面我会从这几个方面为你回答下。 操作系统也是一种软件,但是操作系统是一种非常复杂的软件。操作系统提供了几种抽象模型 文件:对 I/O 设备的抽象 虚拟内存:对程序存储.
X64 inline hook CreateProcessInternalW
11-24
X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
挂接CreateProcessW实现对进程创建的完全控制
08-05 1457
SystEm32:这份文档演示了如何实现全局HOOK>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++【前言】【概述】【copy-on-write】【三种可行的办法】【完整演示代码】【资源】++++++++++++++++++++++++++++++++++++++
Windows编程----CreateProcess函数
最新发布
曹瑞鹏的博客(专注于.NET开发,Unity开发)
03-11 678
我用进程111创建了一个子进程222,子进程222的父进程确实是111,但是因为某些原因进程111被回收,并且重新分配给了一个其他的进程,如果这个时候,子进程再拿着父进程的ID:111去处理业务的话,就会出现意想不到的错误。关于线程Id:18736在进程管理器是无法查看的,但是我们可以通过ProcessExplorer软件查看主线程Id,查看方式如下:选中指定的进程,点击下方的Threads 标签栏,可以查看当前进程的所以线程,我们会发现只有一个主线程:18736.这和我们主程序打印出来的结果是一致的。
全局 Hook CreateProcessInternalW 测试 VB版.rar
07-09
纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
小试X64 inline HOOK,hook explorer.exe--->CreateProcessInternalW监视进程创建
热门推荐
zwfgdlc的专栏
11-24 1万+
原始函数是这样的 kernel32!CreateProcessInternalW: 00000000`7738e750 4c8bdc mov r11,rsp 00000000`7738e753 53 push rbx 00000000`7738e754 56 push rsi 00000000`7738e7
【Windows内核机制解析】:操作系统背后的秘密,专业权威全揭秘
[【Windows内核机制解析】:操作系统背后的秘密,专业权威全揭秘](https://www.cs.uic.edu/~jbell/CourseNotes/OperatingSystems/images/Chapter9/9_27_BuddySystem.jpg) # 摘要 本文全面解析了Windows内核机制及其...
【进程管理深度解析】:哈尔滨工业大学2011年操作系统试题,揭秘进程管理背后原理
[【进程管理深度解析】:哈尔滨工业大学2011年操作系统试题,揭秘进程管理背后原理](https://media.geeksforgeeks.org/wp-content/uploads/20230324152918/memory-allocation-in-union.png) # 摘要 进程管理是操作...
Delphi进程管理源码示例解析与应用
根据给定文件信息,我们可以推断出需要探讨的知识点与Delphi编程语言、系统...需要注意的是,具体源码示例的实现细节和复杂度可能会有很大差异,但上述知识点提供了一个基本框架,有助于理解示例代码背后的概念和技术。
用VC++6.0开发的电脑进程查询工具
为了深入理解该程序背后的知识点,我们需要掌握以下几个关键部分: 1. Windows进程基础: - 进程定义:在Windows操作系统中,进程是一个正在运行的程序的实例,它包含了程序代码、分配给它的内存空间、系统资源...
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
Detours版HOOK 未导出的API函数CreateProcessInternalW
追逐光芒,追随内心
11-22 1868
#include <stdio.h> //#include <tchar.h> #include <windows.h> #include "detours.h" #pragma comment(lib,"detours.lib") //以下是HOOK需要的头文件 //#include <winsock2.h> //#include <MSWSock.h> //#pragma comment(lib,"ws2_32.lib") //.
CreateProcess
weixin_30493401的博客
09-08 467
Windows 进程创建完整过程(除去细节) 当前流程是分析WinXP x86得到的,在最新版本Windows上不一定正确,但是可以做一个参考, 由于我这里符号并不全,所以导致我这里有些东西看到的可能是错误的,误导了我,然后我就做了个错误的记录, 有缘人如果看到的话,可以帮我指正一下,我会很高兴。 工作挺忙的,三天的业余时间,哎,个人水平问题吧,还是没有办法详细地分析出完整套路,算是个简要...
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言技巧经验分享
11-19 1838
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
注意CreateProcessW函数
ITLionWoo的专栏
04-11 6397
看下面这个代码有什么问题:  #define PROCESS_NAME _T(“C://Windows/NotePad.ext”)      if (!CreateProcessW(NULL, PROCESS_NAME, NULL, NULL, FALSE, 0, NULL, NULL, &startupInfo, &processInformation))  这里的问
Win7/Vista Hook CreateProcess 的特别之处
myjisgreat的专栏
06-13 4649
Win7/Vista Hook CreateProcess 的特别之处 搬运自我的百度空间,写本文时主流系统为Win7,本文的方法没有在高版本的windows尝试 Hook了CreateProcess后发现,每当非管理员进程创建管理员进程,这个Hook被绕过了。   Win7中如果要截取创建新进程,单单Hook 本进程kernel32中的
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8439
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
CreateProcess函数详解
weixin_30689307的博客
02-22 1392
CreateProcess说明:WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型:BOOL CreateProcess( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值