1.进程结构体

最新推荐文章于 2022-03-17 16:17:10 发布
最新推荐文章于 2022-03-17 16:17:10 发布
阅读量2.2k 收藏 2
点赞数 1
分类专栏: 进程与线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42052102/article/details/83153426
版权
本文探讨了在Windows操作系统中,进程创建的本质是分配内存并填充_EPROCESS结构体,该结构体存储了进程的关键信息。通过对_EPROCESS的理解,可以深入掌握进程的内部工作机制。
摘要由CSDN通过智能技术生成

其实我们创建进程或者线程就是分配一块内存填充一个结构体赋上具体的值这样进程或者线程也就创建出来了。

每个windows进程在0环执行体都有一个对应的结构体: _EPROCESS这个结构体包含了进程所有重要的信息。

kd> dt _EPROCESS
nt!_EPROCESS
	//名称					//类型
   +0x000 Pcb              : _KPROCESS		//子结构 (微内核)
   +0x06c ProcessLock      : _EX_PUSH_LOCK//推锁对象 保护_EPROCESS数据成员
   +0x070 CreateTime       : _LARGE_INTEGER	//进程创建的时间
   +0x078 ExitTime         : _LARGE_INTEGER //进程退出时间
   +0x080 RundownProtect   : _EX_RUNDOWN_REF//进程的停止保护锁(所有线程释放了才能释放进程)
   +0x084 UniqueProcessId  : Ptr32 Void		//Pid
   +0x088 ActiveProcessLinks : _LIST_ENTRY	/*
   所有活动进程组成的双向链表,PsActiveProcessHead指向全局链表头。
   dd PsActiveProcessHead得到的就是第一个进程 
   注意里面的地址都从_EPROCESS+0x88的位置开始 dt _EPROCESS 链表里的地址 -88
   */
   +0x090 QuotaUsage       : [3] Uint4B//内存使用量 物理页统计信息
   +0x09c QuotaPeak        : [3] Uint4B//尖峰使用量 物理页统计信息
   +0x0a8 CommitCharge     : Uint4B//虚拟内存以提交的页面
   +0x0ac PeakVirtualSize  : Uint4B//虚拟内存大小的尖峰值
   +0x0b0 VirtualSize      : Uint4B//虚拟内存的大小
   +0x0b4 SessionProcessLinks : _LIST_ENTRY//系统会话链表节点地址
   +0x0bc DebugPort        : Ptr32 Void//调试端口
   +0x0c0 ExceptionPort    : Ptr32 Void//异常端口
   +0x0c4 ObjectTable      : Ptr32 _HANDLE_TABLE//句柄表
   +0x0c8 Token            : _EX_FAST_REF//进程安全访问检查
   +0x0cc WorkingSetLock   : _FAST_MUTEX
   +0x0ec WorkingSetPage   : Uint4B//包含进程工作集的页面
   +0x0f0 AddressCreationLock : _FAST_MUTEX//保护虚拟地址的互斥锁
   +0x110 HyperSpaceLock   : Uint4B//自旋锁 用于保护进程超空间
   +0x114 ForkInProgress   : Ptr32 _ETHREAD//指向正在复制地址空间的那条线程
   +0x118 HardwareTrigger  : Uint4B//记录硬件错误性能分析次数
   +0x11c VadRoot          : Ptr32 Void//用户层 哪些地址没占用?
   +0x120 VadHint          : Ptr32 Void
   +0x124 CloneRoot        : Ptr32 Void//当进程空间地址复制时,此树会被创建
   +0x128 NumberOfPrivatePages : Uint4B//进程私有页面的数量
   +0x12c NumberOfLockedPages : Uint4B//被锁住的页面数量
   +0x130 Win32Process     : Ptr32 Void//不为NULL 说明是一个GUI进程
   +0x134 Job              : Ptr32 _EJOB
   +0x138 SectionObject    : Ptr32 Void//进程可执行映像文件的内存区对象
   +0x13c SectionBaseAddress : Ptr32 Void//该内存区对象的基地址
   +0x140 QuotaBlock       : Ptr32 _EPROCESS_QUOTA_BLOCK//指向该进程的配额块
   +0x144 WorkingSetWatch  : Ptr32 _PAGEFAULT_HISTORY//用于监视一个进程的页面错误
   +0x148 Win32WindowStation : Ptr32 Void//进程所属的窗口站的句柄
   +0x14c InheritedFromUniqueProcessId : Ptr32 Void//父进程ID
   +0x150 LdtInformation   : Ptr32 Void//LDT表
   +0x154 VadFreeHint      : Ptr32 Void//指向一个提示VAD节点
   +0x158 VdmObjects
最低0.47元/天 解锁文章
My classmates
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程的结构
weixin_43887148的博客
11-09 2519
什么是进程 UNIX标准(特别是IEEE Std 1003.1,2004年版)把进程定义为:一个其中运行着一个或多个线程的地址空间和这些线程所需要的系统资源。 目前,可以把进程看作正在运行的程序。 像Linux这样的多任务操作系统可以同时运行多个程序。每个运行着的程序实例就构成一个进程。 作为多用户系统,Linux允许许多用户同时访问系统。每个用户可以同时运行许多个程序,甚至同时运行同一个程序的许多个实例。系统本身也运行着一些管理系统资源和控制用户访问的程序。 正在运行的程序或进程由程序代码、数据、变量(占
34进程与线程之进程结构体
qq_18059143的博客
11-29 659
前言:操作系统创造进程和线程,实质就是构建一个结构体。 一、进程结构体EPROCESS 使用命令查看:dt _EPROCESS PEB也是描述进程的一个结构体,但是是提供给3环使用的,而不是0环。每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 成员之KPROCESS +...
进程结构体
qq_18811919的博客
03-17 4924
进程结构体EPROCESS 每个windows进程在0环都有对应的结构体:EPROCESS这个结构体包含了进程所有重要的信息。 使用windbg查看:dt _EPROCESS EPROCESS与PEB是有区别的:EPROCESS在0环PEB在3环。 EPROCESS结构体属性(KPROCESS) +0x0 Pcb 是一个KPROCESS结构体 Windbg查看KPROCESS:dt _KPROCESS KPROCESS第一个属性: +0x0 Header DISPATCHER_HEARDER 只要是该DI
进程结构
qq_41634872的博客
12-02 735
2.C++中的结构体-C管理进程代码-C++管理进程代码-C语言中的联合体.docx
最新发布
11-23
C++中的结构体和管理进程代码详解 结构体是C++中的一种自定义数据类型,可以包含多个变量和函数成员。结构体的成员可以是变量、函数或其他结构体结构体的定义使用struct关键字,后面跟着结构体的名称和成员列表。...
taskstats-struct任务进程统计结构体.txt1
08-04
1. `version`:表示`struct taskstats`的版本号,每次结构体改动时应递增。它定义在 `<linux/taskstats.h>` 中,通常是 `TAKSTATS_VERSION`。 2. `ac_exitcode`:进程的退出代码,用来表明程序执行结束的状态。 3. `...
PID.rar_pid结构体
09-24
查找PID时,可以通过遍历存储所有进程结构体的链表或哈希表来实现。如果需要修改PID的信息,可以直接通过结构体指针访问并更新相应字段。销毁进程时,释放结构体占用的内存: ```c void destroy_process(PID_Struct...
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程的EPROCESS结构体”时,...
siginfo_t进程信息结构体
06-01
进程信息结构体路径:/usr/include/i386-linux-gnu/bits/siginfo.h,相关教程链接如下: http://blog.csdn.net/tennysonsky/article/details/46010303
接收进程或线程的上下文结构体
06-01
接收进程或线程的上下文结构体,相关教程链接如下: http://blog.csdn.net/tennysonsky/article/details/46010303
结构体进程描述进程
csdnldsg的博客
06-18 549
进程有四大状态,分别为可运行状态,等待状态,暂停状态,僵死状态 1)可运行状态 处于这种状态的进程,要么正在运行、要么正准备运行。正在运行的进程就是当前进程 (由 current 宏 所指向的进程),而准备运行的进程只要得到CPU 就可以立即投入运行,CPU 是 这些进程唯一等待的系统资源。系统中有一个运行队列(run_queue),用来容纳所有处于可 运行状态的进程,调度程序执行
Windows进程与线程学习笔记(一)—— 进程结构体
qq_41988448的博客
11-12 1842
Windows进程与线程学习笔记(一)—— 进程结构体&线程结构体前言进程结构体 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 进程结构体 ...
进程与task_struct结构体
lhy2932226314的博客
04-16 620
什么是进程进程是加载到内存中的可执行程序,但进程比程序多了一些结构,其中最主要的是PCB。广义上,所有的进程信息被放在一个叫做进程控制块的数据结构中,可以理解为进程属性的集合。 什么是PCB? 操作系统要对进程进行管理有两个步骤:描述进程和组织进程。而PCB就是描述进程的数据结构,每个进程在内核中都有一个进程控制块(PCB)来维护进程相关的信息,Linux内核的进程控制块是task_st
C语言进程结构
life_liver的专栏
03-09 787
C语言的程序被加载到内存以后,可以有如下结构:   text段,用来存储二进制代码 initialized data段,通常简称data段,用来存储显式初始化的全局变量,如 int a=9; uninitialized data段,通常称作bss(block started by symbol),用来存储未显式初始化的全局变量,如int a; 尽管操作系统内核会将a初始化为0; he
进程结构体tast_struct, sched_entity, 源码
SUKI547的博客
12-03 516
3.16.0-43-generic #58~14.04.1-Ubuntu SMP struct sched_entity { struct load_weight load; /* for load-balancing */ struct rb_node run_node; struct list_head group_node; unsigned int on_rq; u64 exec_start; u64 sum_exec_runtime; u64 vruntime;
进程的概念/标识/结构/状态
哒哒的博客
03-05 5289
linux是一个典型的多用户多任务操作系统。多用户指多个用户可以同时使用计算机;多任务指linux可同时执行几个任务,可以在还未执行完一个任务时又执行另一个任务。进程即运行中的程序,linux可以同时启动多个进程。 一.进程概念 1.根据操作系统对进程的定义 进程就是操作系统资源管理的最小单位。 2.理解 进程是程序的一次执行过程,它是动态的实体。需要将它和程序/线程对比着更好理解 (1
EPROCESS 的结构导出(WINXP和WIN2003)
11-19 916
 WINXP lkd> dt nt!_EPROCESS   +0x000 Pcb              : _KPROCESS   +0x06c ProcessLock      : _EX_PUSH_LOCK   +0x070 CreateTime       : _LARGE_INTEGER   +0x078 ExitTime         : _LARGE_INTEGER  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值