Win32 进程

最新推荐文章于 2022-08-09 15:12:36 发布
最新推荐文章于 2022-08-09 15:12:36 发布
阅读量503 收藏 1
点赞数
分类专栏: Win32 文章标签: c++ winapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44945775/article/details/116135841
版权

一、进程的生命周期

1.1 进程的创建过程

在这里插入图片描述

步骤一:当系统启动后,创建一个进程,Explorer.exe 也就是桌面进程

步骤二:当用户双击某一个EXE时,Explorer进程 使用CreateProcess()函数创建被双击的EXE,也就是说,我们在桌面上双击创建的进程都是Explorer进程的子进程。

任何一个进程都需要由别的进程创建它,但在进程创建后,父进程的销毁与否与进程无关。

1.2 CreateProcess()做了什么

BOOL CreateProcess(	
    LPCSTR lpApplicationName,	
    LPSTR lpCommandLine, 	
    LPSECURITY_ATTRIBUTES lpProcessAttributes, 	
    LPSECURITY_ATTRIBUTES lpThreadAttributes,	
    BOOL bInheritHandles,	
    DWORD dwCreationFlags,	
    LPVOID lpEnvironment,	
    LPCSTR lpCurrentDirectory,	
    LPSTARTUPINFOA lpStartupInfo,	
    LPPROCESS_INFORMATION lpProcessInformation
 );

1.2.1 创建内核对象

内核层

注意:进程是一个空间的概念,而线程才是真正执行的代码

句柄表

每个进程在高2G的空间中,有着一个句柄表,刚创建时是空的。

创建内核对象时,句柄表中会存储内核对象相关信息,例如内核对象句柄内核地址,和继承属性

比如:

CreateProcess		CreateMutex
CreateThread		CreateFile
CreateEvent			CreateFileMapping

在这里插入图片描述

1.2.2 分配4GB的虚拟空间(Windows 32位)

在这里插入图片描述

NULL指针使用
int* pnSomeInteger = (int*) malloc(sizeof(int));
*pnSomeInteger = 5;
用户区

  1. 将EXE拉伸,存储到指定的位置

  2. 遍历EXE导入表,将需要的DLL拉伸存储到指定位置。如果位置被占用,换个地方并且通过DLL的重定位表,修改全局变量。

  3. DLL如果引用了其他的DLL,递归第二步

  4. 修复EXE/DLL中的IAT表

  5. 创建线程、设置线程CONTEXT 开始执行

1.2.3 创建进程的主线程

当进程的空间创建完毕,EXE与导入表中的DLL都真确加载完毕后,会创建一个线程。

当线程得到CPU的时候,程序就开始指向了EIP的初始值设定为:ImageBase + OEP

HANDLE CreateThread(				
    LPSECURITY_ATTRIBUTES psa,				
    DWORD cdStack,				
    PIHREAD_START_ROUTINE pfnStartAddr,				
    PVOID pvParam,				
    DWORD fdwCreate,				
    PDWORD pdwThreadID				
);

当进程创建成功后,会将进程句柄、主进程句柄、进程ID以及主线程ID存储在

typedef struct _PROCESS_INFORMATION {
   							
    HANDLE hProcess;				//进程句柄			
    HANDLE hThread;					//主进程句柄			
    DWORD dwProcessId;				//进程ID			
    DWORD dwThreadId;				//线程ID			
} PROCESS_INFORMATION, *PPROCESS_INFORMATION, *LPPROCESS_INFORMATION;

也就是:CreateProcess() 的最后一个 OUT 参数

到此,整个进程创建就结束了

1.3 终止进程

1.3.1 终止线程的三种方式

//进程自己调用
VOID ExitProcess(UINT fuExitCode);
//终止其他进程
BOOL TerminateProcess(HANDLE hProcess, UINT fuExitCode);							

//终止进程中的所有线程,进程也会终止
ExitThread();

1.3.2 获取进程的退出码

BOOL GetExitCodeProcess(HANDLE hProcess, PDWORD pdwExitCode);

1.3.3 进程终止时相关操作

  1. 进程中剩余的所有线程全部终止运行
  2. 进程指定的所有用户对象均被释放,所有内核对象均被关闭
  3. 进程内核对象的状态变成收到通知的状态
  4. 进程内核对象的使用计数递减1

1.4 内核对象 句柄和ID的区别

  1. 都是系统分配的一个编号
    • 句柄是客户程序使用的,ID主要是系统调度时使用的。
  2. CloseHandle()关闭内核对象句柄的本质:
    • 让内核计数器减一,在该进程的句柄表中删除该内核对象,并不是终止或结束进程。
    • 当内核计数器为0时,该内核对象才会自己终止运行。
    • 在一个进程中,多次调用CloseHandle()关闭内核对象句柄时无用的;
      在第一个调用时,该内核对象就从该进程的句柄表中删除了,后面的所有调用都是无用的。
  3. 进程ID与线程ID是不可能相同的。但不要通过进程或者线程ID来操作进程或者线程。
    • 因为ÿ
最低0.47元/天 解锁文章
Peter W
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows学习进程创建过程 3
青之羽
08-19 183
在Windows程序当中,每一个进程对象都有4G的虚拟内存。当一个可执行文件在内存中被创建进程时,设定用户空间为2G,内存分布如下: 共享的内核分区是由所有的进程对象共同享用的。 进程的创建过程:当用户双击运行一个可执行文件对象的时候,操作系统就会通过调用explorer.exe进程对象来为当前的可执行程序创建一个新的进程对象。Explorer.exe进程对象将会调用CreateProcess()函数对象来实现进程对象的创建操作。 (1)映射exe文件:当双击运行一个可执行文件时,开辟一块用户独享的.
win32api之进程的创建与使用(二)
最新发布
xf555er的博客
03-19 1580
在计算机操作系统中,进程是正在运行中的程序的实例。进程是操作系统进行资源分配和管理的基本单位,包括内存、文件句柄、系统状态等。每个进程都有自己的独立内存空间和运行状态,因此它们不会互相干扰,也不会互相影响。多个进程可以在操作系统上同时运行,每个进程都在自己的空间里执行自己的代码。
c++ win32 启动进程并传命令行参数,杀死进程
u011737099的专栏
08-25 1087
获取当前dll路径 static HMODULE GetSelfModuleHandle() { MEMORY_BASIC_INFORMATION mbi; return ((::VirtualQuery(GetSelfModuleHandle, &mbi, sizeof(mbi)) != 0) ? (HMODULE)mbi.AllocationBase : NULL); } std::string GetCurDllPath() { WCHAR szModuleFileName[MAX
傀儡进程注入
qq_40710190的博客
05-08 950
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
WINDOWS任务管理器进程大全
NOI Study
11-28 1700
 WINDOWS任务管理器进程大全      打开WINDOWS的任务管理器,在进程选项卡中有一大堆正在运行的进程。      但是普通人很难分辨出这些进程的来历!哪些是正常的进程,哪些又是木马,病毒的进程      一下的内容绝对值得你珍藏下来,因为他们几乎包括咯所有的常见WINDOWS和软件的进程      系统进程      system process      进程文件: [system
win32 进程隐藏.rar
02-06
本教程将详细讲解如何在VS2017开发环境中,结合Win32 API,利用DLL动态链接库来实现这一功能,特别是在64位的Windows 10系统下。 首先,我们需要理解什么是DLL。DLL(Dynamic Link Library)是Windows操作系统提供...
ModAPI:通用API,用于将Win32进程的内部修改与mod loader系统集成
03-06
ModAPI 通用API,用于将Win32进程的内部修改与mod loader系统集成在一起。 编写该库的目的是与HJFod的Geometry Dash 项目集成,但是该API足够灵活,可以与其他程序的mods一起使用。如何使用这个库该库包含两个组件。...
WIN32程序获取父进程ID的方法
01-01
学过windows程序设计的人都知道,windows中的进程是可以有父子关系的,拥有父子关系的进程,一旦父进程结束,子进程有会随之退出。但是如果进程之间没有父子关系,我们如何让子进程在父进程退出是也同时跟着退出呢?...
win32进程间通信(共享内存)实例分析
09-04
在本文中,我们将重点关注使用Win32 API的共享内存方法进行进程间通信的实例分析。共享内存是一种高效的数据传递方式,因为它允许多个进程直接访问同一块内存区域,避免了数据复制的开销。 首先,我们来了解一下...
Win32 api手册
03-08
6. **进程和线程**:Win32 API允许开发者创建、管理和控制进程和线程。`CreateProcess`用于启动新进程,`CreateThread`创建新线程,`WaitForSingleObject`和`TerminateThread`可以同步线程或结束线程。 二、Win32 ...
Win32开发系列文章17-启动和关闭进程示例源码
02-28
Win32开发系列博文第17篇中,有关使用CreateProcess函数创建进程,用TerminateProcess函数干掉进程的例子,外加ShellExecute函调用。
Win32 进程操作
Cou1d的博客
04-18 238
创建线程 #include<iostream> #include<windows.h> using namespace std; DWORD WINAPI PROCESST1(LPVOID param); DWORD WINAPI PROCESST2(LPVOID param); DWORD WINAPI PROCESST3(LPVOID param); int ...
Win32 API 打开另一个进程
bcbobo21cn的专栏
09-10 3062
Win32 API 打开另一个进程,这是一些黑客编程技术中的一个步骤,当然也可以用来做好事; 首先要包含Tlhelp32.h; 在OpenProcessByProcessNmae函数中通过快照枚举进程,比较进程名获得进程id; printf打开是否成功的信息; 如果打开成功了,进一步可以做些事情; 代码有2份,一份是cmd的,一份是窗口的; 出现 ' ' differs in levels ...
Win32中调用其他应用程序的方法(函数)winexec,shellexecute ,createprocess
Guo_guo
08-23 1万+
WinExec,ShellExecute ,CreateProcess这三个win32API均可以实现调用其他程序的要求,其中以WinExec最为简单,ShellExecute比WinExec灵活一些,CreateProcess最为复杂。     WinExec 两个参数,前一个指定路径,后一个指定显示方式。     ShellExecute 可以指定工作目录,并且还可以寻找文件的关联直接打开
Win32学习笔记(4)进程的创建过程
wzprabbit的博客
12-14 950
进程的创建过程: 进程进程提供程序所需的资源,如:数据,代码等等。 随便打开一个exe文件,查看内存布局。 这些东西就是进程进程就是提供数据等等。 每个进程都有4GB的虚拟内存,分别是低2G和高2G。低2G是属于这个进程能使用的,高2G是公用的。(比如有十个进程其中低两G是各自占有的,高两G是这十个进程公用的) 进程内存空间的地址划分 分区 x86 32位Windows 空指针赋值区(不能使用) 0x00000000-0x0000FFFF 用户模式区(用户使用.
win32 判断进程状态(挂起/运行中)、用API挂起/恢复进程
不蚌埠!
08-09 3926
应用层判断进程是否挂起的多种方法和调用API NtSuspendProcess()挂起进程
WindowAPI 详解--OpenProcess打开获得进程句柄
热门推荐
03-24 1万+
WindowsAPI详解——OpenProcess 打开|获得进程句柄 - [VC++编程] 版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明 http://www.blogbus.com/flyxxtt-logs/43752726.html       在获得进程可执行文件路径的几种方法中曾使用了OpenProcess来获得进程的句柄,今天就详细介绍下这个函
[Win32] 启用进程Debug权限
zuishikonghuan的博客
08-18 7785
在上一篇中,写过一个KillProcessAndWait函数,这个函数是用来终止一个进程并等待进程退出的函数,我们使用这个函数,可以关闭同一个用户下的进程,但是,即使以管理员权限运行程序,我们发现也无法终止系统的进程(比如系统桌面管理器dwm.exe)!这是为什么呢。 另外,在写一篇中获取进程映像路径中,也会出现此问题。 甚至只要是访问那些进程,即使是管理员权限都会出问题! 其实,管

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值