进程

最新推荐文章于 2022-09-16 23:30:28 发布

Megrez_

最新推荐文章于 2022-09-16 23:30:28 发布

阅读量220

点赞数

分类专栏： win32的小皮毛文章标签：学习笔记

本文链接：https://blog.csdn.net/qq_43445167/article/details/88081290

版权

win32的小皮毛专栏收录该内容

8 篇文章 1 订阅

订阅专栏

进程的创建过程

1.进程的PID唯一（打开任务管理器你就知道了）。
2.进程仅仅只提供程序所需的资源（如代码数据）。

这里就可以看出进程实际上是一个静态的东西，它只是一个库，一个空间，存着程序所需要的东西罢了。

3.每个进程都有自己虚拟的4GB空间

其中 0~0x00010000 一般没有使用
0x00010000~0x7FFE0000 为程序所用空间（低2G）
余下的高2G被系统内核所使用（其实是各个进程共用）

4.进程所提供的资源被分成了很多模块这些模块遵循一个相同的格式（PE结构）嗯哼？

这里其实就可以看出进程实际是由许许多多PE文件构成的

5.创建进程的API函数及进程的创建过程

这里暂时不深究了解一下

创建进程

CreateProcess函数原型：

> BOOL CreateProcess
> {
    LPCTSTR lpApplicationName,        //对象名称（要运行的进程路径）
    LPTSTR lpCommandLine,        	//命令行参数（其实就是给进程的参数）（可以填NULL）
    LPSECURITY_ATTRIBUTES lpProcessAttributes。  //可以设置自身的进程句柄表是否可以被继承
    LPSECURITY_ATTRIBUTES lpThreadAttributes,        //可以设置自身的线程句柄表是否可以被继承
    BOOL bInheritHandles,          //是否继承父进程中可继承的句柄
    DWORD dwCreationFlags,         //创建标志（可以以挂起的方式创建，你就可以有时间偷偷摸摸的干一些事）（挂起后需要用ResumeThread()函数让其继续运行）
    LPVOID lpEnvironment,         //没啥用 填NULL
    LPCTSTR lpCurrentDirectory,        //当前进程工作目录（区别模块路径与工作路径）
    LPSTARTUPINFO lpStartupInfo,        //其本质是结构体指针，它给出进程启动的相关信息。（只需要创建此结构体将其初始化并将结构体的第一个成员（结构体大小）正确赋值再将其传入函数就可以了，函数本身会将其它变量赋值）（具体信息...  查百度吧）（初始化函数ZeroMemory）
    **注意！！！ 此结构体信息正常双击打开与调试器打开所赋的值不同！！！
    这时就可以干一些坏事情了  嗯哼？**
    LPPROCESS_INFORMATION lpProcessInformationt   //本质为结构体指针
    只需要创建并初始化此结构体将其传入就好 此参数为out参数 ，当函数执行完后会往里写信息（相当于返回值）。
    }
    没有注释的可以先放一放

此函数执行失败的话要用GetLastError()函数获得一个值，通过这个值查询出现的问题。

句柄表

LPPROCESS_INFORMATION lpProcessInformationt；
此结构体指针指向的结构体里的四个参数分别是进程句柄，进程ID，线程句柄，线程ID（CreateProcess()的最后一个参数）; so? let’s go!

引入一个概念
内核对象
在这里插入图片描述
2.句柄表
首先当进程需要访问内核对象时需要获得内核对象的地址，但当用户获得到此地址后不小心将其改写，当再次访问时，会让电脑直接蓝屏…
so，句柄表就被人类搞了出来，当进程需要访问内核对象时，返回一个编号，通过这个编号进行访问。（即直接将用户层与内核层隔离）。

比如说你能用CreateProcess()函数启动ie浏览器进程通过其返回的线程句柄即可操纵ie浏览器的运行状态（通过函数操纵）

3.不同的进程可以根据自己的句柄表访问同一个内核对象（私有）
4.内核对象（此对象为进程的对象）当没有进程访问时会被自动销毁（对象里有一个计数器记录访问的进程个数）（即所有访问该内核对象的进程都使用CloseHandle()函数将句柄关闭时）
5.句柄表里会记录其中每一个句柄是否可以被继承

线程相关函数

TerminateProcess函数原型：

BOOL TerminateProcess
(
HANDLE hProcess； //进程句柄
UINT uExitCode ； //我感觉吧就是返回值，返回值反映了遇到的问题，可以用函数获取这个值（其实调用的时候随便填）
);

OpenProcess函数原型：

HANDLE OpenProcess
(
DWORD dwDesiredAccess, //这个进程你希望拥有怎样的权力（传的参数去百度吧… 各种各样的参数记得个毛）
BOOL bInheritHandle, //是否允许被继承
DWORD dwProcessId //进程的ID(PID)
);

函数作用：函数用来打开一个已存在的进程对象，并返回进程的句柄。

其他函数：
1.获取进程PID GetCurrentProcessId()
2.获取进程句柄 GetCurrentProcess()
3.获取命令行 GetCommandLine()
4.获取启动信息 GetStartupInfo
5.遍历进程ID EnumProcesses
6.快照 CreateToolheIp32Snapshot()

如有谬误，请多指教。