0x00 进程:
日期:2019年11月13日
一个进程是一个“内核对象”,Windows编程实际上是一种面向对象的编程,总共有三种对象,内核对象(进程对象,线程对象,文件内存映射对象等)、用户对象(菜单,窗口等)、GDI对象(字体,光标等)(图形设备接口对象)。内核对象归操作系统内核所有。对于每一个内核对象,操作系统内核都会对其有一个“使用计数”。同一个内核对象,被不同进程使用一次,就增加一次使用计数。当一个内核对象的使用计数为0时,这个内核对象就会被操作系统内核销毁。
通俗地说,进程只具有内核对象的"使用权",他可以为内核创建一个内核对象,然后拥有这个内核对象的使用权,也可以选择调用CloseHandle(句柄),来停止使用某一个内核对象,也就是将一个内核对象从自己的句柄表中删除。内核对象的使用计数减一。句柄表中多出来一个空白项。
每一个进程中都会有一个"句柄表",进程中每创建一个内核对象,就会为内核对象分配一块内存,然后将内存块的地址记录到句柄表的空白位置。然后将空白位置的索引号返回(第几条记录)。这个索引号就是内核对象的句柄。因为每个进程都有自己的“句柄表”,所以,同一个内核对象在不同的进程中,不一定在句柄表中存储的位置相同,所以句柄不一定相同。但是ID一定相同的。相同的ID说明他们其实是同一个内核对象。(本质上是因为他们存在于同一个内存段)
不同的进程中怎么会有同一个内核对象呢?举个例子,比如说你在一个进程中又创建了一个子进程,并且这个子进程继承了父进程的某一个内核对象,父进程中该内核对象的句柄为3(句柄表第三条记录),而子进程中将该内核对象的内存地址记录到句柄表的第一条记录,那么在子进程中该内核对象的句柄号就为1。
进程不仅仅是一个内核对象,更通俗的讲,进程只是开了一段内存将程序代码生成的可执行文件 映射到了该内存段(文件内存映射)。但是进程是惰性的,他什么事都不会做。一个进程中必须至少有一个线程,线程从可执行文件的内存映射的某一个位置开始来执行这个可执行文件。
所谓应用程序实例句柄hInstance 就是进程实例句柄,就是操作系统给进程开的这段内存的首地址。
内核对象使用计数 其实等于记录了该内核对象的句柄表的数量。
如何区分内核对象 和 其他对象(用户对象、GDI对象),Createxxx函数中有安全属性参数的函数 创建的一定是一个内核对象,否则一定是 其他对象。
关于继承:
父进程有权决定子进程是否可以继承自己的内核对象,如果不能继承,那么全部不能继承。如果可以继承,那么只能继承父进程标记的允许继承的内核对象。
131
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
