_Nigel_
_Nigel_

Windows进程与线程---1

概述

相比于Linux中的进程管理,即创建一个线程的同时创建一个进程。而Windows中却不是这样,它是先创建一个进程作为容器,然后创建第一个线程,也就是对于CreateProcess而言,它先调用NtCreateProcess创建进程,然后调用NtCreateThread创建进程的第一个线程。

Windows进程的用户空间

一些重要的宏如下

#define MM_HIGHEST_USER_ADDRESS	*MmHighestUserAddress
#define MM_USER_PROBE_ADDRESS	*MmUserProbeAddress
#define MM_LOWEST_USER_ADDRESS 	0x10000

对于MmHighestUserAddress和MmUserProbeAddress而言,他们是在系统初始化的时候被赋值的,即MmUserProbeAddress其值为MmSystemRangeStart-0x10000,而MmHighestUserAddress为MmUserProbeAddress-1,也就是严格来讲,从0x8000-0000开始处的下沿64kb也是属于用户不可访问的范围,并且之前我们在系统调用中提到过有一个SharedUserData是一块“飞地”的存在,它虽然在系统内核空间中,但却是可以访问到的。其大小也是64kb,位置是在0xffdf0000
Windows进程与线程---1_第1张图片

用户空间格局的创建

用户空间的创建及其大的格局基本上是通过内核函数MmCreateProcessAddressSpace实现
其流程大概是

  • 调用MmInitializeAddressSpace初始化MADDRESS_SPACE结构
  • 通过调用CreateMemoryArea将0x80000000下沿64kb设置成PAGE_NOACCESS属性
  • 通过调用CreateMemoryArea将SharedUserData所在页面设置为PAGE_EXECUTE_READ属性,所以实际上只有一个页面的大小的飞地,其余部分设置成PAGE_NOACCESS
  • 通过MmMapViewOfSection将该可执行映像装入用户空间,其起始地址正是ImageBase,接着初始化一些域 例如文件名 并且填充到EPROCESS

用户空间最重要的自然是可执行映像,在进行NtCreateProcess之前,调用者已经为目标映像创建好一个Section,即文件映射区,现在通过NtCreateProcess将它映射到用户空间中,由于此时空间基本为空,根据PE文件的头部信息,我们总能加载到期望地址上去。
当然除了重要的EXE映像,还要许多重要的DLL文件,例如ntdll.dll,这是一个非常重要的DLL,系统调用的时候也需要用到这个DLL。Windows内核在初始化阶段首次需要这个DLL的时候为其创建文件映射区,以后凡是用到这个DLL只要映射这个文件映射区即可。ntdll的映射是由PspCreateProcess->PspMapSystemDll完成的。

ntdll的加载
NTSTATUS
NTAPI
INIT_FUNCTION
PspMapSystemDll(IN PEPROCESS Process,
                IN PVOID *DllBase,
                IN BOOLEAN UseLargePages)
{
    NTSTATUS Status;
    LARGE_INTEGER Offset = {{0, 0}};
    SIZE_T ViewSize = 0;
    PVOID ImageBase = 0;
    
    /* Map the System DLL */
    Status = MmMapViewOfSection(PspSystemDllSection,    //调用MmMapViewOfSection将ntdll映射到ImageBase处 类型是可读写
                                Process,
                                (PVOID*)&ImageBase,
                                0,
                                0,
                                &Offset,
                                &ViewSize,
                                ViewShare,
                                0,
                                PAGE_READWRITE);
    if (Status != STATUS_SUCCESS)
    {
        /* Normalize status code */
        Status = STATUS_CONFLICTING_ADDRESSES;
    }
    
    /* Write the image base and return status */
    if (DllBase) *DllBase = ImageBase;  //DllBase是ntdll的加载基址
    return Status;
}

这里的ntdll加载进内存是通过MmMapViewOfSection将该共享文件对象映射进内存中,这里也就是用户空间里。

PEB的建立

PEB的建立是通过PspCreateProcess->MmCreatePeb

NTSTATUS
NTAPI
MmCreatePeb(IN PEPROCESS Process,
            IN PINITIAL_PEB InitialPeb,
            OUT PPEB *BasePeb)
{
    PPEB Peb = NULL;
    LARGE_INTEGER SectionOffset;
    SIZE_T ViewSize = 0;
    PVOID TableBase = NULL;
    PIMAGE_NT_HEADERS NtHeaders;
    PIMAGE_LOAD_CONFIG_DIRECTORY ImageConfigData;
    NTSTATUS Status;
    USHORT Characteristics;
    KAFFINITY ProcessAffinityMask = 0;
    SectionOffset.QuadPart = (ULONGLONG)0;
    *BasePeb = NULL;

    //
    // Attach to Process
    //
    KeAttachProcess(&Process->Pcb);

    //
    // Map NLS Tables
    //
    Status = MmMapViewOfSection(ExpNlsSectionPointer,   //映射NLS码表
                                (PEPROCESS)Process,
                                &TableBase,
                                0,
                                0,
                                &SectionOffset,
                                &ViewSize,
                                ViewShare,
                                MEM_TOP_DOWN,
                                PAGE_READONLY);
    DPRINT("NLS Tables at: %p\n", TableBase);
    if (!NT_SUCCESS(Status))
    {
        /* Cleanup and exit */
        KeDetachProcess();
        return Status;
    }

    //
    // Allocate the PEB
    //
    Status = MiCreatePebOrTeb(Process, sizeof(PEB), (PULONG_PTR)&Peb);  //为Peb建立空间的主要函数
    DPRINT("PEB at: %p\n", Peb);
    if (!NT_SUCCESS(Status))
    {
        /* Cleanup and exit */
        KeDetachProcess();
        return Status;
    }

    //
    // Use SEH in case we can't load the PEB
    //
    _SEH2_TRY
    {
        //
        // Initialize the PEB
        //
        RtlZeroMemory(Peb, sizeof(PEB));

        //
        // Set up data
        //
        Peb->ImageBaseAddress = Process->SectionBaseAddress;        //EPROCESS的SectionBaseAddress赋值给了ImageBaseAddress
        Peb->InheritedAddressSpace = InitialPeb->InheritedAddressSpace; //对peb进行适当的初始化
        Peb->Mutant = InitialPeb->Mutant;
        Peb->ImageUsesLargePages = InitialPeb->ImageUsesLargePages;

        //
        // NLS
        //
        Peb->AnsiCodePageData = (PCHAR)TableBase + ExpAnsiCodePageDataOffset;
        Peb->OemCodePageData = (PCHAR)TableBase + ExpOemCodePageDataOffset;
        Peb->UnicodeCaseTableData = (PCHAR)TableBase + ExpUnicodeCaseTableDataOffset;

        //
        // Default Version Data (could get changed below)
        //
        Peb->OSMajorVersion = NtMajorVersion;   //这些是从SharedUserData中获取的 根据上面的注释 是只读无法更改的
        Peb->OSMinorVersion = NtMinorVersion;
        Peb->OSBuildNumber = (USHORT)(NtBuildNumber & 0x3FFF);
        Peb->OSPlatformId = 2; /* VER_PLATFORM_WIN32_NT */
        Peb->OSCSDVersion = (USHORT)CmNtCSDVersion;

        //
        // Heap and Debug Data
        //
        Peb->NumberOfProcessors = KeNumberProcessors;   //KeNumberProcessors即处理器的数量也给了Peb
        Peb->BeingDebugged = (BOOLEAN)(Process->DebugPort != NULL); //这里给反调试做了依据!!! BeingDebugged是根据DebugPort而来的
        Peb->NtGlobalFlag = NtGlobalFlag;
        /*Peb->HeapSegmentReserve = MmHeapSegmentReserve;
         Peb->HeapSegmentCommit = MmHeapSegmentCommit;
         Peb->HeapDeCommitTotalFreeThreshold = MmHeapDeCommitTotalFreeThreshold;
         Peb->HeapDeCommitFreeBlockThreshold = MmHeapDeCommitFreeBlockThreshold;
         Peb->CriticalSectionTimeout = MmCriticalSectionTimeout;
         Peb->MinimumStackCommit = MmMinimumStackCommitInBytes;
         */
        Peb->MaximumNumberOfHeaps = (PAGE_SIZE - sizeof(PEB)) / sizeof(PVOID);  //堆的最大数量
        Peb->ProcessHeaps = (PVOID*)(Peb + 1);  //可以看到Windows的堆指针是紧邻Peb之后的 并且是堆的一个指针数组

        //
        // Session ID
        //
        if (Process->Session) Peb->SessionId = 0; // MmGetSessionId(Process);
    }
    _SEH2_EXCEPT(EXCEPTION_EXECUTE_HANDLER)
    {
        //
        // Fail
        //
        KeDetachProcess();
        _SEH2_YIELD(return _SEH2_GetExceptionCode());
    }
    _SEH2_END;

    //
    // Use SEH in case we can't load the image
    //
    _SEH2_TRY
    {
        //
        // Get NT Headers
        //
        NtHeaders = RtlImageNtHeader(Peb->ImageBaseAddress);    //获取Pe映像头
        Characteristics = NtHeaders->FileHeader.Characteristics;    //获取Pe映像信息
    }
    _SEH2_EXCEPT(EXCEPTION_EXECUTE_HANDLER)
    {
        //
        // Fail
        //
        KeDetachProcess();
        _SEH2_YIELD(return STATUS_INVALID_IMAGE_PROTECT);
    }
    _SEH2_END;

    //
    // Parse the headers
    //
    if (NtHeaders)
    {
        //
        // Use SEH in case we can't load the headers
        //
        _SEH2_TRY
        {
            //
            // Get the Image Config Data too
            //
            ImageConfigData = RtlImageDirectoryEntryToData(Peb->ImageBaseAddress,
                                                           TRUE,
                                                           IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG,
                                                           (PULONG)&ViewSize);
            if (ImageConfigData)
            {
                //
                // Probe it
                //
                ProbeForRead(ImageConfigData,
                             sizeof(IMAGE_LOAD_CONFIG_DIRECTORY),
                             sizeof(ULONG));
            }

            //
            // Write subsystem data
            //
            Peb->ImageSubsystem = NtHeaders->OptionalHeader.Subsystem;
            Peb->ImageSubsystemMajorVersion = NtHeaders->OptionalHeader.MajorSubsystemVersion;
            Peb->ImageSubsystemMinorVersion = NtHeaders->OptionalHeader.MinorSubsystemVersion;

            //
            // Check for version data
            //
            if (NtHeaders->OptionalHeader.Win32VersionValue)
            {
                //
                // Extract values and write them
                //
                Peb->OSMajorVersion = NtHeaders->OptionalHeader.Win32VersionValue & 0xFF;
                Peb->OSMinorVersion = (NtHeaders->OptionalHeader.Win32VersionValue >> 8) & 0xFF;
                Peb->OSBuildNumber = (NtHeaders->OptionalHeader.Win32VersionValue >> 16) & 0x3FFF;
                Peb->OSPlatformId = (NtHeaders->OptionalHeader.Win32VersionValue >> 30) ^ 2;

                /* Process CSD version override */
                if ((ImageConfigData) && (ImageConfigData->CSDVersion))
                {
                    /* Take the value from the image configuration directory */
                    Peb->OSCSDVersion = ImageConfigData->CSDVersion;
                }
            }

            /* Process optional process affinity mask override */
            if ((ImageConfigData) && (ImageConfigData->ProcessAffinityMask))
            {
                /* Take the value from the image configuration directory */
                ProcessAffinityMask = ImageConfigData->ProcessAffinityMask;
            }

            //
            // Check if this is a UP image
            if (Characteristics & IMAGE_FILE_UP_SYSTEM_ONLY)
            {
                //
                // Force it to use CPU 0
                //
                /* FIXME: this should use the MmRotatingUniprocessorNumber */
                Peb->ImageProcessAffinityMask = 0;
            }
            else
            {
                //
                // Whatever was configured
                //
                Peb->ImageProcessAffinityMask = ProcessAffinityMask;
            }
        }
        _SEH2_EXCEPT(EXCEPTION_EXECUTE_HANDLER)
        {
            //
            // Fail
            //
            KeDetachProcess();
            _SEH2_YIELD(return STATUS_INVALID_IMAGE_PROTECT);
        }
        _SEH2_END;
    }

    //
    // Detach from the Process
    //
    KeDetachProcess();  //撤销挂靠
    *BasePeb = Peb;     
    return STATUS_SUCCESS;
}

这里首先映射NLS码表,这个是关于编码的,我们并不关心,我们的重心放到MiCreatePebOrTeb,这个函数为Peb建立了空间。
接着分配好空间就是对Peb进行初始化,首先是ImageBase的从EPROCESS到Peb的一个转移。然后是比较重要的就是Peb的BeingDebugged的来源是EPROCESS中的DebugPort域,当被调试的时候,DebugPort的值为-1,此时!=null,所以BeingDbugged的值就是这么来的。另外比较重要的就是Heap,它最大数量就是(PAGE_SIZE - sizeof(PEB)) / sizeof(PVOID),并且堆数组的起始地址是ProcessHeaps,它的定义是**(PVOID*)(Peb + 1)**,也就是紧邻在Peb之后,是Windows堆的指针数组。

顺便看一下MiCreatePebOrTeb
Windows进程与线程---1_第2张图片其核心是一个循环,对于peb而言,它总能在第一次循环的时候就将其数据结构安装到期望地址上。对于之后的Teb而言,每次是第2,3,4…循环之后能成功安装,这样多线程的Teb建立问题就不需要思虑了,即使某个线程结束了其生命,下一次新的线程建立teb会填充到那个位置。并且对于进程而言不存在堆栈问题,堆栈是针对于线程而言!

ProcessParameters的生成

PEB中有个字段ProcessParameters,这个字段指向的是本进程的"参数块",注意,进程的建立也是存在参数的!!!
是一个RTL_USER_PROCESS_PARAMETERS结构。
其设置是由BasepInitializeEnvironment处理的

[CreateProcessW->CreateProcessInternalW->BasepInitializeEnvironment]
NTSTATUS
WINAPI
BasepInitializeEnvironment(HANDLE ProcessHandle,
                           PPEB Peb,
                           LPWSTR ApplicationPathName,
                           LPWSTR lpCurrentDirectory,
                           LPWSTR lpCommandLine,
                           PWSTR lpEnvironment,
                           SIZE_T EnvSize,
                           LPSTARTUPINFOW StartupInfo,
                           DWORD CreationFlags,
                           BOOL InheritHandles)
{
        WCHAR FullPath[MAX_PATH];
        LPWSTR Remaining;
        LPWSTR DllPathString;
        PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
        PRTL_USER_PROCESS_PARAMETERS RemoteParameters = NULL;
        UNICODE_STRING DllPath, ImageName, CommandLine, CurrentDirectory;
        UINT RetVal;
        NTSTATUS Status;
        PWCHAR ScanChar;
        ULONG EnviroSize;
        SIZE_T Size;
        UNICODE_STRING Desktop, Shell, Runtime, Title;
        PPEB OurPeb = NtCurrentPeb();
        PWSTR Environment = lpEnvironment;
 
        DPRINT("BasepInitializeEnvironment\n");
 
        /* Get the full path name */
        RetVal = GetFullPathNameW(ApplicationPathName,
                MAX_PATH,
                FullPath,
                &Remaining);
        DPRINT("ApplicationPathName: %S, FullPath: %S\n", ApplicationPathName,
                FullPath);
 
        /* Get the DLL Path */
        DllPathString = BasepGetDllPath(FullPath, Environment); //获取dll路径
 
        /* Initialize Strings */
        RtlInitUnicodeString(&DllPath, DllPathString);
        RtlInitUnicodeString(&ImageName, FullPath); //获取可执行映像路径
        RtlInitUnicodeString(&CommandLine, lpCommandLine);  //获取命令行参数
        RtlInitUnicodeString(&CurrentDirectory, lpCurrentDirectory);    //获取当前目录
 
        /* Initialize more Strings from the Startup Info */
        //这是对启动参数信息的复制 主要有视窗位置 标题等
        if (StartupInfo->lpDesktop)
        {
                RtlInitUnicodeString(&Desktop, StartupInfo->lpDesktop);
        }
        else
        {
                RtlInitUnicodeString(&Desktop, L"");
        }
        if (StartupInfo->lpReserved)
        {
                RtlInitUnicodeString(&Shell, StartupInfo->lpReserved);
        }
        else
        {
                RtlInitUnicodeString(&Shell, L"");
        }
        if (StartupInfo->lpTitle)
        {
                RtlInitUnicodeString(&Title, StartupInfo->lpTitle);
        }
        else
        {
                RtlInitUnicodeString(&Title, L"");
        }
 
        /* This one is special because the length can differ */
        Runtime.Buffer = (LPWSTR)StartupInfo->lpReserved2;
        Runtime.MaximumLength = Runtime.Length = StartupInfo->cbReserved2;
 
        /* Create the Parameter Block */
        DPRINT("Creating Process Parameters: %wZ %wZ %wZ %wZ %wZ %wZ %wZ\n",
                &ImageName, &DllPath, &CommandLine, &Desktop, &Title, &Shell,
                &Runtime);
        Status = RtlCreateProcessParameters(&ProcessParameters, &ImageName, &DllPath, lpCurrentDirectory ? &CurrentDirectory : NULL, &CommandLine, Environment, &Title, &Desktop, &Shell, &Runtime);//RtlCreateProcessParameters为ProcessParameters分配空间 并且将Environment进行填充
 
        if (!NT_SUCCESS(Status))
        {
                DPRINT1("Failed to create process parameters!\n");
                return Status;
        }
 
        /* Check if we got an environment. If not, use ours */
        //下面是获取环境变量块的信息
        if (Environment)
        {
                /* Save pointer and start lookup */
                Environment = ScanChar = ProcessParameters->Environment;
        }
        else
        {
                /* Save pointer and start lookup */
                Environment = ScanChar = OurPeb->ProcessParameters->Environment;
        }
 
        /* Find the environment size */
        if (ScanChar)
        {
                if (EnvSize && Environment == lpEnvironment)
                {
                        /* its a converted ansi environment, bypass the length calculation */
                        EnviroSize = EnvSize;
                }
                else
                {
                        while (*ScanChar)
                        {
                                ScanChar += wcslen(ScanChar) + 1;
                        }
 
                        /* Calculate the size of the block */
                        if (ScanChar == Environment)
                        {
                                EnviroSize = 2 * sizeof(WCHAR);
                        }
                        else
                        {
                                EnviroSize = (ULONG)((ULONG_PTR)ScanChar - (ULONG_PTR)Environment + sizeof(WCHAR));
                        }
                }
                DPRINT("EnvironmentSize %ld\n", EnviroSize);
 
                /* Allocate and Initialize new Environment Block */
                Size = EnviroSize;
                ProcessParameters->Environment = NULL;
                Status = NtAllocateVirtualMemory(ProcessHandle, //为参数块中的环境变量域分配一个环境变量块大小
                        (PVOID*)&ProcessParameters->Environment,
                        0,
                        &Size,
                        MEM_COMMIT,
                        PAGE_READWRITE);
                if (!NT_SUCCESS(Status))
                {
                        DPRINT1("Failed to allocate Environment Block\n");
                        return(Status);
                }
 
                /* Write the Environment Block */
                NtWriteVirtualMemory(ProcessHandle,             //将得到的环境变量块信息存入到参数块中
                        ProcessParameters->Environment,
                        Environment,
                        EnviroSize,
                        NULL);
        }
 
        /* Write new parameters */
        //继续为参数块设置一些未初始化的信息
        ProcessParameters->StartingX = StartupInfo->dwX;
        ProcessParameters->StartingY = StartupInfo->dwY;
        ProcessParameters->CountX = StartupInfo->dwXSize;
        ProcessParameters->CountY = StartupInfo->dwYSize;
        ProcessParameters->CountCharsX = StartupInfo->dwXCountChars;
        ProcessParameters->CountCharsY = StartupInfo->dwYCountChars;
        ProcessParameters->FillAttribute = StartupInfo->dwFillAttribute;
        ProcessParameters->WindowFlags = StartupInfo->dwFlags;
        ProcessParameters->ShowWindowFlags = StartupInfo->wShowWindow;
 
        /* Write the handles only if we have to */
        if (StartupInfo->dwFlags & STARTF_USESTDHANDLES)    //设置三个标准通道
        {
                DPRINT("Using Standard Handles\n");
                ProcessParameters->StandardInput = StartupInfo->hStdInput;
                ProcessParameters->StandardOutput = StartupInfo->hStdOutput;
                ProcessParameters->StandardError = StartupInfo->hStdError;
        }
 
        /* Use Special Flags for ConDllInitialize in Kernel32 */
        //设置创建标志值 例如无视窗 控制台应用程序
        if (CreationFlags & DETACHED_PROCESS)
        {
                ProcessParameters->ConsoleHandle = HANDLE_DETACHED_PROCESS;
        }
        else if (CreationFlags & CREATE_NO_WINDOW)
        {
                ProcessParameters->ConsoleHandle = HANDLE_CREATE_NO_WINDOW;
        }
        else if (CreationFlags & CREATE_NEW_CONSOLE)
        {
                ProcessParameters->ConsoleHandle = HANDLE_CREATE_NEW_CONSOLE;
        }
        else
        {
                /* Inherit our Console Handle */
                ProcessParameters->ConsoleHandle = OurPeb->ProcessParameters->ConsoleHandle;    //遗传父进程的句柄
 
                /* Is the shell trampling on our Handles? */
                if (!(StartupInfo->dwFlags &
                        (STARTF_USESTDHANDLES | STARTF_USEHOTKEY | STARTF_SHELLPRIVATE)))
                {
                        /* Use handles from PEB, if inheriting or they are console */
                        DPRINT("Copying handles from parent\n");
                        BasepCopyHandles(ProcessParameters, OurPeb->ProcessParameters, InheritHandles);//将三个标准通道的句柄复制到参数块中
                }
        }
 
        /* Also set the Console Flag */
        if (CreationFlags & CREATE_NEW_PROCESS_GROUP)
        {
                ProcessParameters->ConsoleFlags = 1;
        }
 
        /* Allocate memory for the parameter block */
        Size = ProcessParameters->Length;
        Status = NtAllocateVirtualMemory(ProcessHandle,//在新创建的用户空间中分配参数所需要的空间
                (PVOID*)&RemoteParameters,
                0,
                &Size,
                MEM_COMMIT,
                PAGE_READWRITE);
        if (!NT_SUCCESS(Status))
        {
                DPRINT1("Failed to allocate Parameters Block\n");
                return(Status);
        }
 
        /* Set the allocated size */
        ProcessParameters->MaximumLength = Size;
 
        /* Handle some Parameter Flags */
        ProcessParameters->ConsoleFlags = (CreationFlags & CREATE_NEW_PROCESS_GROUP);
        ProcessParameters->Flags |= (CreationFlags & PROFILE_USER) ?
RTL_USER_PROCESS_PARAMETERS_PROFILE_USER : 0;
        ProcessParameters->Flags |= (CreationFlags & PROFILE_KERNEL) ?
RTL_USER_PROCESS_PARAMETERS_PROFILE_KERNEL : 0;
        ProcessParameters->Flags |= (CreationFlags & PROFILE_SERVER) ?
RTL_USER_PROCESS_PARAMETERS_PROFILE_SERVER : 0;
        ProcessParameters->Flags |= (NtCurrentPeb()->ProcessParameters->Flags &
                RTL_USER_PROCESS_PARAMETERS_DISABLE_HEAP_CHECKS);
 
        /* Write the Parameter Block */
        Status = NtWriteVirtualMemory(ProcessHandle,    //将填充好的参数块填充到新进程中
                RemoteParameters,
                ProcessParameters,
                ProcessParameters->Length,
                NULL);
 
        /* Write the PEB Pointer */
        Status = NtWriteVirtualMemory(ProcessHandle,    //参数块指针填充到peb中
                &Peb->ProcessParameters,
                &RemoteParameters,
                sizeof(PVOID),
                NULL);
 
        /* Cleanup */
        RtlFreeHeap(RtlGetProcessHeap(), 0, DllPath.Buffer);
        RtlDestroyProcessParameters(ProcessParameters);
 
        DPRINT("Completed\n");
        return STATUS_SUCCESS;
}
        

NTSTATUS NTAPI
RtlCreateProcessParameters(PRTL_USER_PROCESS_PARAMETERS *ProcessParameters,
			   PUNICODE_STRING ImagePathName,
			   PUNICODE_STRING DllPath,
			   PUNICODE_STRING CurrentDirectory,
			   PUNICODE_STRING CommandLine,
			   PWSTR Environment,
			   PUNICODE_STRING WindowTitle,
			   PUNICODE_STRING DesktopInfo,
			   PUNICODE_STRING ShellInfo,
			   PUNICODE_STRING RuntimeData)
{
   PRTL_USER_PROCESS_PARAMETERS Param = NULL;
   ULONG Length = 0;
   PWCHAR Dest;
   UNICODE_STRING EmptyString;
   HANDLE CurrentDirectoryHandle;
   HANDLE ConsoleHandle;
   ULONG ConsoleFlags;

   DPRINT ("RtlCreateProcessParameters\n");

   RtlAcquirePebLock();

   EmptyString.Length = 0;
   EmptyString.MaximumLength = sizeof(WCHAR);
   EmptyString.Buffer = L"";

   if (RtlpGetMode() == UserMode)   //对于UserMode而言 从当前的进程的peb中获取相关信息
     {
	if (DllPath == NULL)
	  DllPath = &NtCurrentPeb()->ProcessParameters->DllPath;
	if (Environment == NULL)
	  Environment  = NtCurrentPeb()->ProcessParameters->Environment;
	if (CurrentDirectory == NULL)
	  CurrentDirectory = &NtCurrentPeb()->ProcessParameters->CurrentDirectory.DosPath;
	CurrentDirectoryHandle = NtCurrentPeb()->ProcessParameters->CurrentDirectory.Handle;
	ConsoleHandle = NtCurrentPeb()->ProcessParameters->ConsoleHandle;
	ConsoleFlags = NtCurrentPeb()->ProcessParameters->ConsoleFlags;
     }
   else //若处于内核空间 则不存在进程这一说法 全部赋值为空
     {
	if (DllPath == NULL)
	  DllPath = &EmptyString;
	if (CurrentDirectory == NULL)
	  CurrentDirectory = &EmptyString;
	CurrentDirectoryHandle = NULL;
	ConsoleHandle = NULL;
	ConsoleFlags = 0;
     }

   if (CommandLine == NULL)
     CommandLine = &EmptyString;
   if (WindowTitle == NULL)
     WindowTitle = &EmptyString;
   if (DesktopInfo == NULL)
     DesktopInfo = &EmptyString;
   if (ShellInfo == NULL)
     ShellInfo = &EmptyString;
   if (RuntimeData == NULL)
     RuntimeData = &EmptyString;

   /* size of process parameter block */    //计算要分配的长度
   Length = sizeof(RTL_USER_PROCESS_PARAMETERS);

   /* size of current directory buffer */
   Length += (MAX_PATH * sizeof(WCHAR));

   /* add string lengths */
   Length += ALIGN(DllPath->MaximumLength, sizeof(ULONG));
   Length += ALIGN(ImagePathName->Length + sizeof(WCHAR), sizeof(ULONG));
   Length += ALIGN(CommandLine->Length + sizeof(WCHAR), sizeof(ULONG));
   Length += ALIGN(WindowTitle->MaximumLength, sizeof(ULONG));
   Length += ALIGN(DesktopInfo->MaximumLength, sizeof(ULONG));
   Length += ALIGN(ShellInfo->MaximumLength, sizeof(ULONG));
   Length += ALIGN(RuntimeData->MaximumLength, sizeof(ULONG));

   /* Calculate the required block size */
   Param = RtlAllocateHeap(RtlGetProcessHeap(), HEAP_ZERO_MEMORY, Length);//分配一个Length空间除了本身的RTL_USER_PROCESS_PARAMETERS空间 还外加了
   if (!Param)
     {
	RtlReleasePebLock();
	return STATUS_INSUFFICIENT_RESOURCES;
     }

   DPRINT ("Process parameters allocated\n");

   //初始化一些必要的参数
   Param->MaximumLength = Length;
   Param->Length = Length;
   Param->Flags = RTL_USER_PROCESS_PARAMETERS_NORMALIZED;
   Param->Environment = Environment;
   Param->CurrentDirectory.Handle = CurrentDirectoryHandle;
   Param->ConsoleHandle = ConsoleHandle;
   Param->ConsoleFlags = ConsoleFlags;

   Dest = (PWCHAR)(((PBYTE)Param) + sizeof(RTL_USER_PROCESS_PARAMETERS));

   /* copy current directory */
   RtlpCopyParameterString(&Dest,
			   &Param->CurrentDirectory.DosPath,
			   CurrentDirectory,
			   MAX_PATH * sizeof(WCHAR));

   /* make sure the current directory has a trailing backslash */
   if (Param->CurrentDirectory.DosPath.Length > 0)
     {
	ULONG Length;

	Length = Param->CurrentDirectory.DosPath.Length / sizeof(WCHAR);
	if (Param->CurrentDirectory.DosPath.Buffer[Length-1] != L'\\')
	  {
	     Param->CurrentDirectory.DosPath.Buffer[Length] = L'\\';
	     Param->CurrentDirectory.DosPath.Buffer[Length + 1] = 0;
	     Param->CurrentDirectory.DosPath.Length += sizeof(WCHAR);
	  }
     }

   /* copy dll path */
   RtlpCopyParameterString(&Dest,
			   &Param->DllPath,
			   DllPath,
			   0);

   /* copy image path name */
   RtlpCopyParameterString(&Dest,
			   &Param->ImagePathName,
			   ImagePathName,
			   ImagePathName->Length + sizeof(WCHAR));

   /* copy command line */
   RtlpCopyParameterString(&Dest,
			   &Param->CommandLine,
			   CommandLine,
			   CommandLine->Length + sizeof(WCHAR));

   /* copy title */
   RtlpCopyParameterString(&Dest,
			   &Param->WindowTitle,
			   WindowTitle,
			   0);

   /* copy desktop */
   RtlpCopyParameterString(&Dest,
			   &Param->DesktopInfo,
			   DesktopInfo,
			   0);

   /* copy shell info */
   RtlpCopyParameterString(&Dest,
			   &Param->ShellInfo,
			   ShellInfo,
			   0);

   /* copy runtime info */
   RtlpCopyParameterString(&Dest,
			   &Param->RuntimeData,
			   RuntimeData,
			   0);

   RtlDeNormalizeProcessParams(Param);
   *ProcessParameters = Param;
   RtlReleasePebLock();

   return STATUS_SUCCESS;
}

上述是初始化参数块的过程。流程是:

  • 先是在本进程初始化一些参数块的必要参数
  • 接着调用RtlCreateProcessParameters在 本进程中 为参数块分配一个空间 并将初始化参数放入ProcessParameters中
  • 然后对于另一部分带有附加参数的环境块,函数也会将Environment分配空间然后存放到ProcessParameters中去。
  • 值得注意的是,我们刚才所说的是操作是在当前进程中进行的,我们最终还是要落实到新进程中,所以需要在新进程中开辟一块空间来存放参数块。

由于分配时是从低往高扫描的,而用户空间最低地址是0x10000,所以分配的位置总是在0x10000处,所以从0x10000处开始的第一个64KB是环境变量块,即Environment。第二个64KB是参数块。

线程建立

下一步就是创建新进程的第一个线程了。首先总结回顾下进程建立的主要点

  • 划分用地 即0x0—0x10000, 0x7fff-f000—0x8000-0000,及除了内核空间SharedUserData中的一个页面外其他都是NOACCESS的区域,是不允许用户空间访问这些虚拟地址的。
  • Section映射进来,这里也就是最重要的可执行文件映像,由于系统将其作为文件共享对象映射进用户空间,这一步也就是对用户空间的使用
  • 然后导入进必要的DLL,我们之前以"系统DLL"举例过了,ntdll.dll也是作为Section对象映射到用户空间的高地址处。
  • 接着是进程必要的参数,如Peb的建立和它本身的初始化,以及ProcessParameters的建立,由于ProcessParameters的特殊和庞大,所以单独用了一个函数来进行初始化,至此新进程对象框架就建立好了

第一个线程的建立,设计到堆栈TEB的建立,先看下函数BasepCreateFirstThread,由创建者进程在其用户空间执行

CreateProcessW -> CreateProcessInternalW -> BasepInitializeFirstThead
/*
 * Creates the first Thread in a Proces
 */
HANDLE
WINAPI
BasepCreateFirstThread(HANDLE ProcessHandle,    //这里是新进程的进程句柄
                       LPSECURITY_ATTRIBUTES lpThreadAttributes,
                       PSECTION_IMAGE_INFORMATION SectionImageInfo,
                       PCLIENT_ID ClientId)
{
    OBJECT_ATTRIBUTES LocalObjectAttributes;
    POBJECT_ATTRIBUTES ObjectAttributes;
    CONTEXT Context;
    INITIAL_TEB InitialTeb;
    NTSTATUS Status;
    HANDLE hThread;

    DPRINT("BasepCreateFirstThread. hProcess: %lx\n", ProcessHandle);

    /* Create the Thread's Stack */
    BaseCreateStack(ProcessHandle,      //在新创建的进程空间里创建一个堆栈
                     SectionImageInfo->MaximumStackSize,
                     SectionImageInfo->CommittedStackSize,
                     &InitialTeb);

    /* Create the Thread's Context */
    BaseInitializeContext(&Context,     //创建线程的初始化上下文
                           NtCurrentPeb(),
                           SectionImageInfo->TransferAddress,
                           InitialTeb.StackBase,
                           0);

    /* Convert the thread attributes */
    ObjectAttributes = BaseFormatObjectAttributes(&LocalObjectAttributes,
                                                    lpThreadAttributes,
                                                    NULL);

    /* Create the Kernel Thread Object */
    Status = NtCreateThread(&hThread,   //在准备好堆栈和线程上下文后调用NtCreateThread创建第一个线程
                            THREAD_ALL_ACCESS,
                            ObjectAttributes,
                            ProcessHandle,
                            ClientId,
                            &Context,
                            &InitialTeb,
                            TRUE);
    if (!NT_SUCCESS(Status))
    {
        return NULL;
    }

    Status = BasepNotifyCsrOfThread(hThread, ClientId);
    if (!NT_SUCCESS(Status))
    {
        ASSERT(FALSE);
    }

    /* Success */
    return hThread;
}

这里主要做了三步

  • BasepCreateStack 为新线程准备一个堆栈 之所以准备是因为需要线程也需要压栈参数,存取变量等等。
  • BasepInitializeContext 初始化其上下文
  • NtCreateThread 这里才是真正的创建线程
  • 最后返回创建的线程对象的句柄给调用者

BasepCreateStack

/*
 * Creates a stack for a thread or fiber
 */
NTSTATUS
WINAPI
BasepCreateStack(HANDLE hProcess,
                 SIZE_T StackReserve,
                 SIZE_T StackCommit,
                 PINITIAL_TEB InitialTeb)
{
    NTSTATUS Status;
    SYSTEM_BASIC_INFORMATION SystemBasicInfo;
    PIMAGE_NT_HEADERS Headers;
    ULONG_PTR Stack = 0;
    BOOLEAN UseGuard = FALSE;
    
    DPRINT("BasepCreateStack (hProcess: %lx, Max: %lx, Current: %lx)\n",
            hProcess, StackReserve, StackCommit);
    
    /* Get some memory information */
    Status = NtQuerySystemInformation(SystemBasicInformation,   //获取系统基本信息
                                      &SystemBasicInfo,
                                      sizeof(SYSTEM_BASIC_INFORMATION),
                                      NULL);
    if (!NT_SUCCESS(Status))
    {
        DPRINT1("Failure to query system info\n");
        return Status;
    }
    
    /* Use the Image Settings if we are dealing with the current Process */
    if (hProcess == NtCurrentProcess()) //若是为当前进程创建栈
    {
        /* Get the Image Headers */
        Headers = RtlImageNtHeader(NtCurrentPeb()->ImageBaseAddress);   //获取Nt映像头
        
        /* If we didn't get the parameters, find them ourselves */
        StackReserve = (StackReserve) ? //是否选用系统的堆栈保留大小
                        StackReserve : Headers->OptionalHeader.SizeOfStackReserve;
        StackCommit = (StackCommit) ? //是否选用系统的堆栈提交大小
                       StackCommit : Headers->OptionalHeader.SizeOfStackCommit;
    }
    else//若不是为当前进程创建栈
    {
        /* Use the System Settings if needed */
        StackReserve = (StackReserve) ? StackReserve :
                                        SystemBasicInfo.AllocationGranularity;
        StackCommit = (StackCommit) ? StackCommit : SystemBasicInfo.PageSize;
    }
    
    /* Align everything to Page Size */
    //对齐
    StackReserve = ROUND_UP(StackReserve, SystemBasicInfo.AllocationGranularity);
    StackCommit = ROUND_UP(StackCommit, SystemBasicInfo.PageSize);
    #if 1 // FIXME: Remove once Guard Page support is here
    StackCommit = StackReserve;
    #endif
    DPRINT("StackReserve: %lx, StackCommit: %lx\n", StackReserve, StackCommit);
    
    /* Reserve memory for the stack */
    Status = ZwAllocateVirtualMemory(hProcess,  //保留一块区间
                                     (PVOID*)&Stack,
                                     0,
                                     &StackReserve,
                                     MEM_RESERVE,
                                     PAGE_READWRITE);
    if (!NT_SUCCESS(Status))
    {
        DPRINT1("Failure to reserve stack\n");
        return Status;
    }
    
    /* Now set up some basic Initial TEB Parameters */
    // 初始化一些Teb的信息 包括分配的栈顶和栈底
    InitialTeb->AllocatedStackBase = (PVOID)Stack;  //栈底
    InitialTeb->StackBase = (PVOID)(Stack + StackReserve);  //栈顶
    InitialTeb->PreviousStackBase = NULL;
    InitialTeb->PreviousStackLimit = NULL;
    
    /* Update the Stack Position */
    Stack += StackReserve - StackCommit;//更新栈的位置
    
    /* Check if we will need a guard page */
    //分配一个guard page用于实现自动堆栈检查
    if (StackReserve > StackCommit)
    {
        Stack -= SystemBasicInfo.PageSize;
        StackCommit += SystemBasicInfo.PageSize;
        UseGuard = TRUE;
    }
    
    /* Allocate memory for the stack */
    Status = ZwAllocateVirtualMemory(hProcess,  //提交指定页面
                                     (PVOID*)&Stack,
                                     0,
                                     &StackCommit,
                                     MEM_COMMIT,
                                     PAGE_READWRITE);
    if (!NT_SUCCESS(Status))
    {
        DPRINT1("Failure to allocate stack\n");
        return Status;
    }
    
    /* Now set the current Stack Limit */
    //将提交信息挡刀InitialTeb中
    InitialTeb->StackLimit = (PVOID)Stack;
    
    /* Create a guard page */
    //若使用gurad page
    if (UseGuard)
    {
        SIZE_T GuardPageSize = SystemBasicInfo.PageSize;
        ULONG Dummy;
        
        /* Attempt maximum space possible */        
        Status = ZwProtectVirtualMemory(hProcess,//更改一个页面为PAGE_GUARD
                                        (PVOID*)&Stack,
                                        &GuardPageSize,
                                        PAGE_GUARD | PAGE_READWRITE,
                                        &Dummy);
        if (!NT_SUCCESS(Status))
        {
            DPRINT1("Failure to create guard page\n");
            return Status;
        }
        
        /* Update the Stack Limit keeping in mind the Guard Page */
        //更改保存到InitialTeb中
        InitialTeb->StackLimit = (PVOID)((ULONG_PTR)InitialTeb->StackLimit - GuardPageSize);
    }
    
    /* We are done! */
    return STATUS_SUCCESS;
}

创建stack流程

  • 首先调用NtQuerySystemInformation获取系统基本信息,用于创建获取默认的堆栈提交保留大小。
  • 根据传进的参数决定是用默认堆栈大小还是指定堆栈大小,然后先分配提交的空间
  • 根据是否启用一个guard page决定是否多提交一个页大小,并将相关信息保留到InitialTeb中
  • 根据提交大小提交栈,并将相关信息保留到InitialTeb中
  • 根据是否启用guard page决定是否更改栈底的一个页面为PAGE_GUARD属性

NtCreateThread

对于BaseInitializeContext与我们当前关心的用户格局并无关联,所以暂时跳过去。
接下来看下NtCreateThread为第一个线程创建TEB的流程
而NtCreateThread则是通过MmCreateTeb为线程建立Teb的的

//CreateProcessW->CreateProcessInternalW->BasepCreateFirstThread->NtCreateThread->PspCreateThread->MmCreateTeb

NTSTATUS
NTAPI
MmCreateTeb(IN PEPROCESS Process,
            IN PCLIENT_ID ClientId,
            IN PINITIAL_TEB InitialTeb,
            OUT PTEB *BaseTeb)
{
    PTEB Teb;
    NTSTATUS Status = STATUS_SUCCESS;
    *BaseTeb = NULL;

    //
    // Attach to Target
    //
    KeAttachProcess(&Process->Pcb); //先挂靠到创建的新进程上

    //
    // Allocate the TEB
    //
    Status = MiCreatePebOrTeb(Process, sizeof(TEB), (PULONG_PTR)&Teb);  //创建一个Teb 这里用的是While循环 从指定的高地址处每次减少一个页面大小 然后看是否合适 由于这是第一个 所以一第二次循环即可满足要求

    ASSERT(NT_SUCCESS(Status));

    //
    // Use SEH in case we can't load the TEB
    //
    _SEH2_TRY
    {
        //
        // Initialize the PEB
        //
        RtlZeroMemory(Teb, sizeof(TEB));

        //
        // Set TIB Data
        // 初始化Teb的异常处理链 及 自身的地址
        Teb->NtTib.ExceptionList = EXCEPTION_CHAIN_END;
        Teb->NtTib.Self = (PNT_TIB)Teb;

        //
        // Identify this as an OS/2 V3.0 ("Cruiser") TIB
        //
        Teb->NtTib.Version = 30 << 8;

        //
        // Set TEB Data
        // 初始化其他属性
        Teb->ClientId = *ClientId;
        Teb->RealClientId = *ClientId;
        Teb->ProcessEnvironmentBlock = Process->Peb;
        Teb->CurrentLocale = PsDefaultThreadLocaleId;

        //
        // Check if we have a grandparent TEB
        // 将先前的InitialTeb的属性复制到Teb中
        if ((InitialTeb->PreviousStackBase == NULL) &&
            (InitialTeb->PreviousStackLimit == NULL))
        {
            //
            // Use initial TEB values
            //
            Teb->NtTib.StackBase = InitialTeb->StackBase;   //栈顶
            Teb->NtTib.StackLimit = InitialTeb->StackLimit; //栈底
            Teb->DeallocationStack = InitialTeb->AllocatedStackBase;
        }
        else
        {
            //
            // Use grandparent TEB values
            //
            Teb->NtTib.StackBase = InitialTeb->PreviousStackBase;
            Teb->NtTib.StackLimit = InitialTeb->PreviousStackLimit;
        }

        //
        // Initialize the static unicode string
        // 
        Teb->StaticUnicodeString.MaximumLength = sizeof(Teb->StaticUnicodeBuffer);
        Teb->StaticUnicodeString.Buffer = Teb->StaticUnicodeBuffer;
    }
    _SEH2_EXCEPT(EXCEPTION_EXECUTE_HANDLER)
    {
        //
        // Get error code
        //
        Status = _SEH2_GetExceptionCode();
    }
    _SEH2_END;

    //
    // Return
    //
    KeDetachProcess();  //撤销挂靠
    *BaseTeb = Teb;     //将创建的Teb返回
    return Status;
}

这里跟之前MmCreatePeb很类似,也是先通过调用MiCreatePebOrTeb从高地址开始分配Teb,由于这是第一个线程,所以两次循环即可实现第一个线程的Teb的建立,接着自然就是对Teb的一个初始化,其中用到了之前的InitialTeb的信息,将其提取出来放到Teb中。

用户空间的格局图简略如下
Windows进程与线程---1_第3张图片

NtCreateProcess

Windows通过NtCreateProcess来建立新进程

/*
 * @implemented
 */
NTSTATUS
NTAPI
NtCreateProcess(OUT PHANDLE ProcessHandle,
                IN ACCESS_MASK DesiredAccess,
                IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
                IN HANDLE ParentProcess,
                IN BOOLEAN InheritObjectTable,
                IN HANDLE SectionHandle OPTIONAL,
                IN HANDLE DebugPort OPTIONAL,
                IN HANDLE ExceptionPort OPTIONAL)
{
    ULONG Flags = 0;
    PSTRACE(PS_PROCESS_DEBUG,
            "Parent: %p Attributes: %p\n", ParentProcess, ObjectAttributes);

    /* Set new-style flags */
    if ((ULONG)SectionHandle & 1) Flags = PS_REQUEST_BREAKAWAY;
    if ((ULONG)DebugPort & 1) Flags |= PS_NO_DEBUG_INHERIT;
    if (InheritObjectTable) Flags |= PS_INHERIT_HANDLES;

    /* Call the new API */
    return NtCreateProcessEx(ProcessHandle, //实际上是调用了NtCreateProcessEx
                             DesiredAccess,
                             ObjectAttributes,
                             ParentProcess,
                             Flags,
                             SectionHandle,
                             DebugPort,
                             ExceptionPort,
                             FALSE);
}

可以看到这里其实是下发给了NtCreateProcessEx,这里的Ex多了一个InJob参数,表明所创建的进程是否属于某个任务

/*
 * @implemented
 */
NTSTATUS
NTAPI
NtCreateProcessEx(OUT PHANDLE ProcessHandle,
                  IN ACCESS_MASK DesiredAccess,
                  IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
                  IN HANDLE ParentProcess,
                  IN ULONG Flags,
                  IN HANDLE SectionHandle OPTIONAL,
                  IN HANDLE DebugPort OPTIONAL,
                  IN HANDLE ExceptionPort OPTIONAL,
                  IN BOOLEAN InJob)
{
    KPROCESSOR_MODE PreviousMode = ExGetPreviousMode();
    NTSTATUS Status;
    PAGED_CODE();
    PSTRACE(PS_PROCESS_DEBUG,
            "ParentProcess: %p Flags: %lx\n", ParentProcess, Flags);

    /* Check if we came from user mode */
    if (PreviousMode != KernelMode)
    {
        _SEH2_TRY
        {
            /* Probe process handle */
            ProbeForWriteHandle(ProcessHandle);//测试句柄是否可写
        }
        _SEH2_EXCEPT(EXCEPTION_EXECUTE_HANDLER)
        {
            /* Return the exception code */
            _SEH2_YIELD(return _SEH2_GetExceptionCode());
        }
        _SEH2_END;
    }

    /* Make sure there's a parent process */
    if (!ParentProcess)
    {
        /* Can't create System Processes like this */
        Status = STATUS_INVALID_PARAMETER;
    }
    else
    {
        /* Create a user Process */
        Status = PspCreateProcess(ProcessHandle,    //发送给PspCreateProcess
                                  DesiredAccess,
                                  ObjectAttributes,
                                  ParentProcess,
                                  Flags,
                                  SectionHandle,
                                  DebugPort,
                                  ExceptionPort,
                                  InJob);
    }

    /* Return Status */
    return Status;
}

这里NtCreateProcessEx先检查句柄是否可写,若可写则又下放给了PspCreateProcess。
这里的SectionHandle是文件映射区的句柄,代表着目标映像文件。最后是DebugPort和ExceptionPort,是用于供新进程发送调试信息异常信息的两个端口。

PspCreateProcess

//NtCreateProcess->NtCreateProcessEx->PspCreateProcess
NTSTATUS
NTAPI
PspCreateProcess(OUT PHANDLE ProcessHandle,
                 IN ACCESS_MASK DesiredAccess,
                 IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
                 IN HANDLE ParentProcess OPTIONAL,
                 IN ULONG Flags,
                 IN HANDLE SectionHandle OPTIONAL,
                 IN HANDLE DebugPort OPTIONAL,
                 IN HANDLE ExceptionPort OPTIONAL,
                 IN BOOLEAN InJob)
{
    HANDLE hProcess;
    PEPROCESS Process, Parent;
    PVOID ExceptionPortObject;
    PDEBUG_OBJECT DebugObject;
    PSECTION_OBJECT SectionObject;
    NTSTATUS Status, AccessStatus;
    ULONG_PTR DirectoryTableBase[2] = {0,0};
    KAFFINITY Affinity;
    HANDLE_TABLE_ENTRY CidEntry;
    PETHREAD CurrentThread = PsGetCurrentThread();
    KPROCESSOR_MODE PreviousMode = ExGetPreviousMode();
    PEPROCESS CurrentProcess = PsGetCurrentProcess();
    ULONG MinWs, MaxWs;
    ACCESS_STATE LocalAccessState;
    PACCESS_STATE AccessState = &LocalAccessState;
    AUX_ACCESS_DATA AuxData;
    UCHAR Quantum;
    BOOLEAN Result, SdAllocated;
    PSECURITY_DESCRIPTOR SecurityDescriptor;
    SECURITY_SUBJECT_CONTEXT SubjectContext;
    BOOLEAN NeedsPeb = FALSE;
    INITIAL_PEB InitialPeb;
    PAGED_CODE();
    PSTRACE(PS_PROCESS_DEBUG,
            "ProcessHandle: %p Parent: %p\n", ProcessHandle, ParentProcess);

    /* Validate flags */
    if (Flags & ~PS_ALL_FLAGS) return STATUS_INVALID_PARAMETER;

    /* Check for parent */
    if (ParentProcess)  //若存在父进程
    {
        /* Reference it */
        Status = ObReferenceObjectByHandle(ParentProcess,   //获取父进程对象 即EPROCESS
                                           PROCESS_CREATE_PROCESS,
                                           PsProcessType,
                                           PreviousMode,
                                           (PVOID*)&Parent,
                                           NULL);
        if (!NT_SUCCESS(Status)) return Status;

        /* If this process should be in a job but the parent isn't */
        if ((InJob) && (!Parent->Job))
        {
            /* This is illegal. Dereference the parent and fail */
            ObDereferenceObject(Parent);
            return STATUS_INVALID_PARAMETER;
        }

        /* Inherit Parent process's Affinity. */
        Affinity = Parent->Pcb.Affinity;
    }
    else
    {
        /* We have no parent */
        Parent = NULL;
        Affinity = KeActiveProcessors;
    }

    /* Save working set data */
    MinWs = PsMinimumWorkingSet;
    MaxWs = PsMaximumWorkingSet;

    /* Create the Object */
    Status = ObCreateObject(PreviousMode,       //创建一个PsProcessType类型的对象,即EPROCESS对象
                            PsProcessType,
                            ObjectAttributes,
                            PreviousMode,
                            NULL,
                            sizeof(EPROCESS),
                            0,
                            0,
                            (PVOID*)&Process);
    if (!NT_SUCCESS(Status)) goto Cleanup;

    /* Clean up the Object */
    RtlZeroMemory(Process, sizeof(EPROCESS));   //清零操作

    /* Initialize pushlock and rundown protection */
    ExInitializeRundownProtection(&Process->RundownProtect);
    Process->ProcessLock.Value = 0;

    /* Setup the Thread List Head */
    InitializeListHead(&Process->ThreadListHead);   //初始化线程队列

    /* Set up the Quota Block from the Parent */
    PspInheritQuota(Process, Parent);               //继承配额信息

    /* Set up Dos Device Map from the Parent */
    ObInheritDeviceMap(Parent, Process);            //继承设备位图信息

    /* Check if we have a parent */
    if (Parent)
    {
        /* Inherit PID and Hard Error Processing */
        Process->InheritedFromUniqueProcessId = Parent->UniqueProcessId;
        Process->DefaultHardErrorProcessing = Parent->
                                              DefaultHardErrorProcessing;
    }
    else
    {
        /* Use default hard error processing */
        Process->DefaultHardErrorProcessing = TRUE;
    }

    /* Check for a section handle */
    if (SectionHandle)
    {
        /* Get a pointer to it */
        Status = ObReferenceObjectByHandle(SectionHandle,
                                           SECTION_MAP_EXECUTE,
                                           MmSectionObjectType,
                                           PreviousMode,
                                           (PVOID*)&SectionObject,
                                           NULL);
        if (!NT_SUCCESS(Status)) goto CleanupWithRef;
    }
    else
    {
        /* Assume no section object */
        SectionObject = NULL;

        /* Is the parent the initial process? */
        if (Parent != PsInitialSystemProcess)
        {
            /* It's not, so acquire the process rundown */
            if (ExAcquireRundownProtection(&Parent->RundownProtect))
            {
                /* If the parent has a section, use it */
                SectionObject = Parent->SectionObject;
                if (SectionObject) ObReferenceObject(SectionObject);

                /* Release process rundown */
                ExReleaseRundownProtection(&Parent->RundownProtect);
            }

            /* If we don't have a section object */
            if (!SectionObject)
            {
                /* Then the process is in termination, so fail */
                Status = STATUS_PROCESS_IS_TERMINATING;
                goto CleanupWithRef;
            }
        }
    }

    /* Save the pointer to the section object */
    Process->SectionObject = SectionObject;

    /* Check for the debug port */
    if (DebugPort)  //若存在调试端口
    {
        /* Reference it */
        Status = ObReferenceObjectByHandle(DebugPort,
                                           DEBUG_OBJECT_ADD_REMOVE_PROCESS,
                                           DbgkDebugObjectType,
                                           PreviousMode,
                                           (PVOID*)&DebugObject,
                                           NULL);
        if (!NT_SUCCESS(Status)) goto CleanupWithRef;

        /* Save the debug object */
        Process->DebugPort = DebugObject;

        /* Check if the caller doesn't want the debug stuff inherited */
        if (Flags & PS_NO_DEBUG_INHERIT)
        {
            /* Set the process flag */
            InterlockedOr((PLONG)&Process->Flags, PSF_NO_DEBUG_INHERIT_BIT);
        }
    }
    else   //否则拷贝父进程端口
    {
        /* Do we have a parent? Copy his debug port */
        if (Parent) DbgkCopyProcessDebugPort(Process, Parent);
    }

    /* Now check for an exception port */
    if (ExceptionPort)  //若存在异常端口
    {
        /* Reference it */
        Status = ObReferenceObjectByHandle(ExceptionPort,
                                           PORT_ALL_ACCESS,
                                           LpcPortObjectType,
                                           PreviousMode,
                                           (PVOID*)&ExceptionPortObject,
                                           NULL);
        if (!NT_SUCCESS(Status)) goto CleanupWithRef;

        /* Save the exception port */
        Process->ExceptionPort = ExceptionPortObject;
    }

    /* Save the pointer to the section object */
    Process->SectionObject = SectionObject;

    /* Set default exit code */
    Process->ExitStatus = STATUS_PENDING;

    /* Check if this is the initial process being built */
    if (Parent)
    {
        /* Create the address space for the child */
        if (!MmCreateProcessAddressSpace(MinWs,
                                         Process,
                                         DirectoryTableBase))
        {
            /* Failed */
            Status = STATUS_INSUFFICIENT_RESOURCES;
            goto CleanupWithRef;
        }
    }
    else
    {
        /* Otherwise, we are the boot process, we're already semi-initialized */
        Process->ObjectTable = CurrentProcess->ObjectTable;
        Status = MmInitializeHandBuiltProcess(Process, DirectoryTableBase);
        if (!NT_SUCCESS(Status)) goto CleanupWithRef;
    }

    /* We now have an address space */
    InterlockedOr((PLONG)&Process->Flags, PSF_HAS_ADDRESS_SPACE_BIT);

    /* Set the maximum WS */
    Process->Vm.MaximumWorkingSetSize = MaxWs;

    /* Now initialize the Kernel Process */
    KeInitializeProcess(&Process->Pcb,
                        PROCESS_PRIORITY_NORMAL,
                        Affinity,
                        DirectoryTableBase,
                        (BOOLEAN)(Process->DefaultHardErrorProcessing & 4));

    /* Duplicate Parent Token */
    Status = PspInitializeProcessSecurity(Process, Parent);
    if (!NT_SUCCESS(Status)) goto CleanupWithRef;

    /* Set default priority class */
    Process->PriorityClass = PROCESS_PRIORITY_CLASS_NORMAL;

    /* Check if we have a parent */
    if (Parent)
    {
        /* Check our priority class */
        if (Parent->PriorityClass == PROCESS_PRIORITY_CLASS_IDLE ||
            Parent->PriorityClass == PROCESS_PRIORITY_CLASS_BELOW_NORMAL)
        {
            /* Normalize it */
            Process->PriorityClass = Parent->PriorityClass;
        }

        /* Initialize object manager for the process */
        Status = ObInitProcess(Flags & PS_INHERIT_HANDLES ? Parent : NULL,
                               Process);
        if (!NT_SUCCESS(Status)) goto CleanupWithRef;
    }
    else
    {
        /* Do the second part of the boot process memory setup */
        Status = MmInitializeHandBuiltProcess2(Process);
        if (!NT_SUCCESS(Status)) goto CleanupWithRef;
    }

    /* Set success for now */
    Status = STATUS_SUCCESS;

    /* Check if this is a real user-mode process */
    if (SectionHandle)
    {
        /* Initialize the address space */
        Status = MmInitializeProcessAddressSpace(Process,
                                                 NULL,
                                                 SectionObject,
                                                 &Flags,
                                                 &Process->
                                                 SeAuditProcessCreationInfo.
                                                 ImageFileName);
        if (!NT_SUCCESS(Status)) goto CleanupWithRef;

        //
        // We need a PEB
        //
        NeedsPeb = TRUE;
    }
    else if (Parent)
    {
        /* Check if this is a child of the system process */
        if (Parent != PsInitialSystemProcess)
        {
            //
            // We need a PEB
            //
            NeedsPeb = TRUE;

            /* This is a clone! */
            ASSERTMSG("No support for cloning yet\n", FALSE);
        }
        else
        {
            /* This is the initial system process */
            Flags &= ~PS_LARGE_PAGES;
            Status = MmInitializeProcessAddressSpace(Process,
                                                     NULL,
                                                     NULL,
                                                     &Flags,
                                                     NULL);
            if (!NT_SUCCESS(Status)) goto CleanupWithRef;

            /* Create a dummy image file name */
            Process->SeAuditProcessCreationInfo.ImageFileName =
                ExAllocatePoolWithTag(PagedPool,
                                      sizeof(OBJECT_NAME_INFORMATION),
                                      'aPeS');
            if (!Process->SeAuditProcessCreationInfo.ImageFileName)
            {
                /* Fail */
                Status = STATUS_INSUFFICIENT_RESOURCES;
                goto CleanupWithRef;
            }

            /* Zero it out */
            RtlZeroMemory(Process->SeAuditProcessCreationInfo.ImageFileName,
                          sizeof(OBJECT_NAME_INFORMATION));
        }
    }

#if MI_TRACE_PFNS
    /* Copy the process name now that we have it */
    memcpy(MiGetPfnEntry(Process->Pcb.DirectoryTableBase[0] >> PAGE_SHIFT)->ProcessName, Process->ImageFileName, 16);
    if (Process->Pcb.DirectoryTableBase[1]) memcpy(MiGetPfnEntry(Process->Pcb.DirectoryTableBase[1] >> PAGE_SHIFT)->ProcessName, Process->ImageFileName, 16);
    if (Process->WorkingSetPage) memcpy(MiGetPfnEntry(Process->WorkingSetPage)->ProcessName, Process->ImageFileName, 16);
#endif

    /* Check if we have a section object and map the system DLL */
    if (SectionObject) PspMapSystemDll(Process, NULL, FALSE);   //映射系统DLL至新进程的空间

    /* Create a handle for the Process */
    CidEntry.Object = Process;
    CidEntry.GrantedAccess = 0;
    Process->UniqueProcessId = ExCreateHandle(PspCidTable, &CidEntry);  //根据PspCidTable 即进程句柄表生成唯一的PID标识
    if (!Process->UniqueProcessId)
    {
        /* Fail */
        Status = STATUS_INSUFFICIENT_RESOURCES;
        goto CleanupWithRef;
    }

    /* Set the handle table PID */
    Process->ObjectTable->UniqueProcessId = Process->UniqueProcessId;

    /* Check if we need to audit */
    if (SeDetailedAuditingWithToken(NULL)) SeAuditProcessCreate(Process);

    /* Check if the parent had a job */
    if ((Parent) && (Parent->Job))
    {
        /* FIXME: We need to insert this process */
        DPRINT1("Jobs not yet supported\n");
        ASSERT(FALSE);
    }

    /* Create PEB only for User-Mode Processes */
    if ((Parent) && (NeedsPeb))
    {
        //
        // Set up the initial PEB
        //
        RtlZeroMemory(&InitialPeb, sizeof(INITIAL_PEB));
        InitialPeb.Mutant = (HANDLE)-1;
        InitialPeb.ImageUsesLargePages = 0; // FIXME: Not yet supported

        //
        // Create it only if we have an image section
        //
        if (SectionHandle)
        {
            //
            // Create it
            //
            Status = MmCreatePeb(Process, &InitialPeb, &Process->Peb);  //创建peb结构
            if (!NT_SUCCESS(Status)) goto CleanupWithRef;
        }
        else
        {
            //
            // We have to clone it
            //
            ASSERTMSG("No support for cloning yet\n", FALSE);
        }

    }

    /* The process can now be activated */
    KeAcquireGuardedMutex(&PspActiveProcessMutex);
    InsertTailList(&PsActiveProcessHead, &Process->ActiveProcessLinks);  //插入到对象目录与本进程的句柄表中,从而通过该进程对象,返回该进程对象的句柄->hProcess
    KeReleaseGuardedMutex(&PspActiveProcessMutex);

    /* Create an access state */
    Status = SeCreateAccessStateEx(CurrentThread,
                                   ((Parent) &&
                                   (Parent == PsInitialSystemProcess)) ?
                                    Parent : CurrentProcess,
                                   &LocalAccessState,
                                   &AuxData,
                                   DesiredAccess,
                                   &PsProcessType->TypeInfo.GenericMapping);
    if (!NT_SUCCESS(Status)) goto CleanupWithRef;

    /* Insert the Process into the Object Directory */
    Status = ObInsertObject(Process,        //插入到对象目录中和句柄表中 并返回句柄
                            AccessState,
                            DesiredAccess,
                            1,
                            NULL,
                            &hProcess);

    /* Free the access state */
    if (AccessState) SeDeleteAccessState(AccessState);

    /* Cleanup on failure */
    if (!NT_SUCCESS(Status)) goto Cleanup;

    /* Compute Quantum and Priority */
    ASSERT(IsListEmpty(&Process->ThreadListHead) == TRUE);
    Process->Pcb.BasePriority =
        (SCHAR)PspComputeQuantumAndPriority(Process,    //计算并设置进程的优先级 以及 时间片
                                            PsProcessPriorityBackground,
                                            &Quantum);
    Process->Pcb.QuantumReset = Quantum;

    /* Check if we have a parent other then the initial system process */
    Process->GrantedAccess = PROCESS_TERMINATE;
    if ((Parent) && (Parent != PsInitialSystemProcess))
    {
        /* Get the process's SD */
        // 获取安全描述符
        Status = ObGetObjectSecurity(Process,
                                     &SecurityDescriptor,
                                     &SdAllocated);
        if (!NT_SUCCESS(Status))
        {
            /* We failed, close the handle and clean up */
            ObCloseHandle(hProcess, PreviousMode);
            goto CleanupWithRef;
        }

        /* Create the subject context */
        SubjectContext.ProcessAuditId = Process;
        SubjectContext.PrimaryToken = PsReferencePrimaryToken(Process);
        SubjectContext.ClientToken = NULL;

        /* Do the access check */
        Result = SeAccessCheck(SecurityDescriptor,  //根据SD设置子进程所允许的访问权限
                               &SubjectContext,
                               FALSE,
                               MAXIMUM_ALLOWED,
                               0,
                               NULL,
                               &PsProcessType->TypeInfo.GenericMapping,
                               PreviousMode,
                               &Process->GrantedAccess,
                               &AccessStatus);

        /* Dereference the token and let go the SD */
        ObFastDereferenceObject(&Process->Token,
                                SubjectContext.PrimaryToken);
        ObReleaseObjectSecurity(SecurityDescriptor, SdAllocated);

        /* Remove access if it failed */
        if (!Result) Process->GrantedAccess = 0;

        /* Give the process some basic access */
        Process->GrantedAccess |= (PROCESS_VM_OPERATION |   //对于子进程而言 这些操作是进程所必需的一些基本操作 所以即使安全检查出错 这些标志也会被设置
                                   PROCESS_VM_READ |
                                   PROCESS_VM_WRITE |
                                   PROCESS_QUERY_INFORMATION |
                                   PROCESS_TERMINATE |
                                   PROCESS_CREATE_THREAD |
                                   PROCESS_DUP_HANDLE |
                                   PROCESS_CREATE_PROCESS |
                                   PROCESS_SET_INFORMATION |
                                   STANDARD_RIGHTS_ALL |
                                   PROCESS_SET_QUOTA);
    }
    else
    {
        /* Set full granted access */
        Process->GrantedAccess = PROCESS_ALL_ACCESS;
    }

    /* Set the Creation Time */
    KeQuerySystemTime(&Process->CreateTime);    //设置进程被创建的时间

    /* Protect against bad user-mode pointer */
    _SEH2_TRY
    {
        /* Save the process handle */
       *ProcessHandle = hProcess;
    }
    _SEH2_EXCEPT(EXCEPTION_EXECUTE_HANDLER)
    {
        /* Get the exception code */
       Status = _SEH2_GetExceptionCode();
    }
    _SEH2_END;

    /* Run the Notification Routines */
    PspRunCreateProcessNotifyRoutines(Process, TRUE);

    /* If 12 processes have been created, enough of user-mode is ready */
    if (++ProcessCount == 12) Ki386PerfEnd();

CleanupWithRef:
    /*
     * Dereference the process. For failures, kills the process and does
     * cleanup present in PspDeleteProcess. For success, kills the extra
     * reference added by ObInsertObject.
     */
    ObDereferenceObject(Process);

Cleanup:
    /* Dereference the parent */
    if (Parent) ObDereferenceObject(Parent);

    /* Return status to caller */
    return Status;
}

流程如下

  • 调用ObCreateObject创建一个PsProcessType类型的对象,即EPROCESS对象
  • 继承配额信息,设备位图信息
  • 若父进程存在,复制父进程的PID和DefaultHardErrorProcessing
  • 若存在可执行共享映射区对象句柄 根据句柄获取到该共享文件对象 然后复制到该进程对象中
  • 若存在DebugPort端口和ExceptionPort端口,则获取对象并存放到进程对象中。
  • 为新进程创建句柄表 实际上是遗传调用者的句柄表
  • 调用MmCopyMmInfo 创建新进程的页面映射表,复制系统空间的映射至页面映射表中
  • 调用MmCreateProcessAddressSpace安排进程空间布局,以及将可执行映像载入到新进程空间中
  • 调用KeInitializeProcess进一步的初始化,主要有WaitListHead结构,即进程也是可等待对象,页面映射表物理基址DirectoryBase,并初始化挂入本进程的线程队列
  • 映射系统DLL至新进程的用户空间
  • 通过ExCreateHandle生成句柄,其值就被当做是PID值。根据PspCidTable 即进程句柄表生成唯一的PID标识
  • 创建Peb
  • 插入到PsActiveProcessHead链表中,这个链表记录着所有被创建的进程,即插入到进程队列中。
  • 通过ObInsertObject插入到对象目录与本进程的句柄表中,从而通过该进程对象,能最终返回该进程对象的句柄->hProcess
  • 调用PspComputeQuantumAndPriority计算出子进程的优先级时间片 这两个参数决定了系统的客观性能,并且参数PsProcessPriorityBackground表明进程一开始是作为后台进程工作的
  • 最后则是获取SD并设置安全属性和grantedAccess 即子进程所允许的权限

至此进程就创建完毕,当然进程只是个容器的作用,系统自然是无法调度进程的,所以创建进程之后要通过另一个系统调用NtCreateThread来为该新进程创建线程。

你可能感兴趣的:(Windows操作系统)

  • 2023最详细的Python安装教程(Windows版本) 程序员林哥 Pythonpythonwindows开发语言
    python安装是学习pyhon第一步,很多刚入门小白不清楚如何安装python,今天我来带大家完成python安装与配置,跟着我一步步来,很简单,你肯定能完成。第一部分:python安装(一)准备工作1、下载和安装python(认准官方网站)当然你不想去下载的话也可以分享给你,还有入门学习教程,点击下方卡片跳转进群领取(二)开始安装对于Windows操作系统,可以下载“executableins
  • 关闭Windows自动更新的6种方法 Gemini1995 windows
    在Windows操作系统中,可以使用多种方法来关闭自动更新。以下是其中一些常用的方法:使用设置应用:打开“设置”应用(Win+I),选择“更新和安全”。在左侧菜单中选择“Windows更新”。点击“更改活动时间”或“高级选项”。在“更新选项”下拉菜单中选择“通知我但不自动下载或安装”或“从不检查更新”。通过服务管理器:打开“服务”管理器,可以通过在运行对话框中输入services.msc来打开。找
  • 《黑神话:悟空》游戏AkExpander.dll文件缺失,使用工具修复更快捷 李秋秋啊 游戏
    在Windows操作系统中,当遇到“黑神话:悟空”游戏中的AkExpander.dll文件丢失问题时,用户可能会经历游戏启动失败或运行中断的情况。这个DLL文件是游戏正常运行所必需的,缺失或损坏会导致关键功能无法执行,影响游戏体验。针对《黑神话:悟空》游戏中AkExpander.dll文件缺失的问题,您可以尝试以下几种解决方法:一、重新安装游戏首先,考虑卸载当前安装的游戏版本,并从官方渠道重新下载
  • Mac上有哪些虚拟机软件?性能兼容性都怎么样该如何下载安装 Hot1422 macoswindows
    Mac上常用的虚拟机软件大概有三个,一个是VMwareFusionVM虚拟机,一个是ParallelsDesktopPD虚拟机,还有一个是CrossOver其中PD与VM都是纯正的虚拟机软件,通过安装windows操作系统来运行windows软件,而CrossOver是无需安装操作系统的,但兼容性比较差,下面详细介绍一下:ParallelsDesktop(PD虚拟机)PD虚拟机对于RAM架构的Ma
  • windows 列出文件的树形结构(tree的用法) abments 办公工具windows
    在Windows操作系统中,tree命令是一个强大的命令行工具,用于以树状结构显示指定路径下的目录和文件。这对于快速查看文件和文件夹的层次结构非常有用,尤其是在大型项目或文件系统中。以下是tree命令的基本用法和一些高级功能:基本用法显示当前目录及其子目录结构:在命令行中输入tree(不带任何参数)将显示当前目录及其所有子目录的结构。显示指定路径下的目录结构:可以通过在tree命令后指定一个路径来
  • 高效管理CrossOver容器里的程序 想干啥就干啥
    CrossOverforMac软件的容器里并不是Windows操作系统,没有Windows操作系统那么丰富的软件管理工具,它只有一个操作界面,默认显示只有“运行命令”和控制面板。一些重要的工具(如:explorer、uninstall等)都隐藏在CrossOver的Windows目录下,要运行非常的麻烦。此外,安装的Windows应用程序,其执行文件有时无法在操作界面的“程序”区域显示,使用程序也
  • 使用c++编写com组件实现windows外壳扩展(自定义右键上下文菜单扩展) 小码ssim c++windows开发语言
    一、作用允许在Windows文件资源管理器中,当用户在文件、文件夹或空白处右键点击时,根据一定的逻辑显示自定义的菜单项二、原理COM组件微软开发的一种软件架构模型,主要用于在不同编程语言之间实现二进制级别的可重用性和互操作性。它可以作为独立的模块分发,并能够在应用程序之间共享,广泛应用于Windows操作系统中的许多服务和应用程序中。(C++和C#是开发COM组件的主要语言。C++提供了最直接的访
  • api-ms-win-downlevel-kernel32-l2-1-0.dll 文件介绍及其丢失修复指南 Nebula_042 经验分享windows
    api-ms-win-downlevel-kernel32-l2-1-0.dll是一个与MicrosoftVisualC++Redistributable和Windows操作系统相关的动态链接库(DLL)文件。这个文件属于Windows的DownLevelAPI集合的一部分,它为新版本的Windows提供了向后兼容性支持,使得旧版本的软件能够在新版本的Windows上正常运行。具体来说,kerne
  • api-ms-win-shcore-scaling-l1-1-1.dll解析及缺失解决策略:确保Windows高DPI显示正常 Nebula_042 windows
    api-ms-win-shcore-scaling-l1-1-1.dll是Windows操作系统中的一个API接口库文件,属于WindowsShellCommonDLLs(Shell核心动态链接库)的一部分。这个特定的DLL文件与Windows的高DPI(每英寸点数)缩放功能紧密相关,支持应用程序在不同分辨率和缩放设置下正确显示界面元素,确保UI的清晰度和适配性。当系统提示api-ms-win-s
  • 电脑切换大小写出现图标提示,如何取消? famous_pengfei 电脑笔记本电脑windows
    对于追求高效率的电脑用户而言,每一分一秒的专注都至关重要。然而,有时候Windows操作系统中一些“贴心”的小功能,比如切换大小写时屏幕上出现的图标提示,不经意间就可能打断我们的思路,影响流畅的工作节奏。尤其对于那些经常需要切换大小写进行编程、写作或数据处理的专业人士来说,这样的提示不仅多余,甚至可能变成一种干扰。好消息是,这些系统默认的功能大多是可以自定义的,包括这个大小写切换的图标提示。如果你
  • GIT使用常见问题 汽车软件工程师001 Gitgit
    如何安装Git?在Windows操作系统中,可以从Git官方网站(https://git-scm.com)下载最新的Git安装程序,然后按照提示进行安装。在Mac操作系统中,可以使用Homebrew或者直接从Git官方网站下载安装程序进行安装。在Linux操作系统中,可以使用包管理器进行安装,例如在Ubuntu中可以使用apt-get命令进行安装。如何配置Git?在安装完Git之后,需要进行一些基
  • Svn常用操作技巧详细说明 汽车软件工程师001 SvnSVN
    TortoiseSVN是一个Windows操作系统下的Subversion客户端,它为用户提供了直观易用的界面,方便进行版本控制操作。下面是一些TortoiseSVN的常用操作技巧的详细说明:检出代码:在Windows资源管理器中,选择一个空文件夹,右键点击选择“SVNCheckout”。在对话框中输入要检出的仓库URL和目标路径,点击“OK”即可开始检出代码。提交代码:在Windows资源管理器
  • 简单介绍 docker ZH_qaq windowsjavascriptdocker
    简单介绍docker简介Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。一个完整的Docker有以下几个部分组成:DockerClient客户端DockerDaemon守护进程DockerImage镜像DockerCont
  • Windows电脑的显存容量查看 Code_Geo windows电脑
    要查看Windows电脑的显存容量,可以按照以下步骤进行:1、通过系统信息查看:在Windows操作系统中,您可以使用系统信息来查看显存容量。按下Win键+R打开“运行”对话框,然后输入“msinfo32”并按回车键。在打开的系统信息窗口中,导航到“组件”>“显示器”,在右侧窗格中会显示您的显卡信息,包括显存容量。2、通过显卡驱动程序查看:您也可以通过显卡驱动程序来查看显存容量。在桌面上右键单击并
  • PowerShell的强大命令集合 svygh123 编程自动化深度解读PowerShell命令行
    PowerShell中有许多常用命令(称为cmdlets),这些命令可以帮助你管理和自动化Windows操作系统的各个方面。下面是一些常见的PowerShellcmdlets,以及它们的具体应用示例:1.Get-Command场景:当你需要了解PowerShell中所有可用的cmdlets时。示例:#查找所有以Get-开头的cmdletsGet-CommandGet-*2.Get-Help场景:当
  • 拍卖新纪元:Spring Boot赋能在线拍卖解决方案 liuxin33445566 springboot后端java
    需求分析1.1技术可行性:技术背景在线拍卖系统是在Windows操作系统中进行开发运用的,而且目前PC机的各项性能已经可以胜任普通网站的web服务器。系统开发所使用的技术也都是自身所具有的,也是当下广泛应用的技术之一。系统的开发环境和配置都是可以自行安装的,系统使用Java开发工具,使用比较成熟的Mysql数据库进行对系统前台及后台的数据交互,根据技术语言对数据库,结合需求进行修改维护,可以使得网
  • 笔记:Sysinternals 是什么, 常见的 Sysinternals 工具有哪些 He BianGu 笔记C#
    一、目的:简要介绍Sysinternals是什么,常见的Sysinternals工具有哪些Sysinternals是一套由微软提供的高级系统工具和实用程序,最初由MarkRussinovich和BryceCogswell创建。这些工具旨在帮助IT专业人员和开发人员诊断和解决Windows操作系统中的各种问题。Sysinternals工具集包含许多独立的工具,每个工具都有特定的用途。二、常见的Sys
  • Windows配置L2TP拨号(VPDN拨号)取消IPSec beeworkshop
    在windows操作系统中使用L2TP进行VPDN拨号(连接到工作区)默认是会绑定IPSec的。当LNS不支持IPSec加密时拨号会失败,为此可以取消IPSec的绑定。禁用Windows对L2TP的IPSec默认策略绑定
  • windows钩子、SetWindowsHookEx函数的使用 _hikari 学习笔记windowsmicrosoftc++
    Windows钩子简介Windows钩子技术是一种Windows操作系统提供的机制,允许程序在特定事件发生时拦截并处理操作系统消息、事件或其他程序的输入和输出。钩子可以被用来监视和记录用户的操作、增加或修改某些功能,或者对某些事件作出反应,以此来实现各种自动化和定制化的需求。钩子技术可以通过两种方式实现:全局钩子和局部钩子。全局钩子会拦截所有应用程序的消息和事件,而局部钩子则只拦截指定的应用程序或
  • 【WPF】WPF学习之面试常问问题 是五月吖 WPFwpf学习
    一、WPF和Winform的区别:WPF:1、Wpf基于xaml语言来定义用户界面,可以实现界面和逻辑分离。2、Wpf基于DirectX(多媒体编程接口)开发,其作用是可以进行图形渲染,多媒体、动画开发。3、数据绑定模式强大,支持MVVM(model-view-viewModel)模式.Winform:1、Winform基于windows操作系统的GDI+(图形设备接口),其主要负责系统与绘图程序
  • Linux下Docker基础命令(使用腾讯云镜像源) 云计算课代表 日常运维问题合集linuxdocker腾讯云服务器centos运维
    Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口,简单的理解就是“轻量级的虚拟机”。本文主要介绍在CentOS7.x下,使用腾讯云服务器,结合腾讯云镜像源,了解Docker的基础命令。卸载旧版本的Docker如果要安装新版本
  • 网络基础Linux 常用Ping命令详解 思静语 Linux&运维安装网络通信网络linux
    文章目录Linux常用ping命令详解ping用法1.在Windows操作系统下:2.在Unix/Linux和macOS操作系统下:ping命令参数ping的原理是什么ping和ICMP的关系网络基础Ping命令详解(使用Ping这命令来测试网络连通)Linux常用ping命令详解概述不管在windows平台,还是在linux平台,ping都是非常常用的网络命令;ping命令通过ICMP(Inte
  • Windows实用技巧:全面解析与解决任务管理器显示不全的问题 DTcode7 IT信息技术相关#信息化技能面试宝典技术常识前端面试宝典IT信息化网络
    Windows实用技巧:全面解析与解决任务管理器显示不全的问题基本概念与问题背景任务管理器简介显示不全现象解决方案实战示例1:调整显示设置示例2:重置任务管理器设置示例3:系统还原与更新示例4:禁用可能导致冲突的软件示例5:注册表编辑(高级操作)实践技巧与注意事项遇到问题的排查思路结语与讨论在Windows操作系统中,任务管理器是每位IT专业人士不可或缺的瑞士军刀,它提供了系统性能监视、进程管理乃
  • iniparser 使用方法介绍 kunsir_ iniparserlinux嵌入式
    一、iniparser的概述INI(InitializationFile)文件是一种简单直观的数据存储格式,常用于配置应用程序的初始化设置。这种文件通常包含若干个节(section)和键值对(key-valuepairs)。INI文件的每一部分都是自描述性的,易于阅读和编辑,使得非程序员也能轻易理解并修改配置参数。INI文件因其简单易用性而在许多编程语言中广泛应用,尤其是在Windows操作系统中
  • 每天学一个电脑知识day1:盘符是什么? Emma想做技术大佬 每天学一个电脑知识电脑
    在计算机中,盘符是用来标识和访问存储设备的一个符号或名称。它常用于操作系统中,用于表示硬盘驱动器、光盘驱动器、USB驱动器等存储设备的逻辑标识符。在Windows操作系统中,盘符通常以一个字母加上一个冒号来表示,如C:、D:等。每个盘符代表一个独立的存储空间,可以用来存储和组织文件和数据。
  • 网络安全售前入门07安全服务——主机漏洞扫描服务方案 努力工作的网安人 网络安全安全经验分享网络安全
    目录1.服务概述2.服务内容3.服务输出1.服务概述漏洞扫描服务主要针对系统层、网络层、数据层、应用层进行安全评估,即对客户使用系统的运行环境进行安全评估。2.服务内容本项目针对客户方系统主机、网络设备、数据库系统及云平台和虚拟化平台等,具体如下:类型具体对象扫描内容操作系统Windows操作系统包括但不限于:windowsxp/2000/2003/2008,包括32位和64位。Linux/Uni
  • java -jar 后台_【Java】部署jar包并后台运行 简单的艾伦 java-jar后台
    #Linux环境部署:#1、执行jar包的命令和在windows操作系统上是一样java-jarjarName-0.0.1-SNAPSHOT.jar;注:关闭服务器连接时会关闭此程序进程,(推荐测试可用)2、将jar程序设置成后台运行,并且将标准输出的日志重定向至文件msg.lognohupjava-jarjarName-0.0.1-SNAPSHOT.jar>msg.log2>&1&;注:nohu
  • add python 3.8 to path是什么意思_初学 Python 需要安装哪些软件? weixin_39737764 addpython3.8topath是什么意思
    最主要的是Python解释器和一个好的IDE工具(推荐PyCharm)1下载Python要进行Python开发,需要先安装Python解释器。由于Python是解释型编程语言,所以需要一个解释器,这样才能运行编写的代码。这里说的安装Python实际上就是安装Python解释器。下面以Windows操作系统为例介绍下载及安装Python的方法。在Python的官方网站中,可以很方便地下载Python
  • 智能化脚本autoit v3的简单了解 weixin_30617561 操作系统
    AutoItv3是一个类似BASIC脚本语言的免费软件,它设计用于WindowsGUI(图形用户界面)中进行自动化操作.利用模拟键盘按键,鼠标移动和窗口/控件的操作实现自动化任务.而这是其它语言不可能做到或无可靠方法实现的(比如VBScript和SendKeys).AutoIt非常小巧,完全运行在所有windows操作系统上.并且不需要任何运行库!AutoIt最初是为PC(个人电脑)的"批量处理"
  • 冷硬缓存——利用缓存滥用绕过 RPC 接口安全 红云谈安全 缓存rpc安全
    介绍MS-RPC是Windows操作系统的基石之一。早在20世纪90年代发布,它就已扎根于系统的大部分部分。服务管理器?RPC。Lsass?RPC。COM?RPC。甚至一些针对域控制器的域操作也使用RPC。鉴于MS-RPC已经变得如此普遍,您可以预料到它已经受到严格的审查、记录和研究。其实不然。尽管微软关于使用RPC的文档相当不错,但关于这个主题的文档并不多,研究人员研究RPC的文档就更少了——特
  • java工厂模式 3213213333332132 java抽象工厂
    工厂模式有 1、工厂方法 2、抽象工厂方法。 下面我的实现是抽象工厂方法, 给所有具体的产品类定一个通用的接口。 package 工厂模式; /** * 航天飞行接口 * * @Description * @author FuJianyong * 2015-7-14下午02:42:05 */ public interface SpaceF
  • nginx频率限制+python测试 ronin47 nginx 频率 python
           部分内容参考:http://www.abc3210.com/2013/web_04/82.shtml 首先说一下遇到这个问题是因为网站被攻击,阿里云报警,想到要限制一下访问频率,而不是限制ip(限制ip的方案稍后给出)。nginx连接资源被吃空返回状态码是502,添加本方案限制后返回599,与正常状态码区别开。步骤如下:
  • java线程和线程池的使用 dyy_gusi ThreadPoolthreadRunnabletimer
    java线程和线程池 一、创建多线程的方式     java多线程很常见,如何使用多线程,如何创建线程,java中有两种方式,第一种是让自己的类实现Runnable接口,第二种是让自己的类继承Thread类。其实Thread类自己也是实现了Runnable接口。具体使用实例如下: 1、通过实现Runnable接口方式 1 2
  • Linux 171815164 linux
    ubuntu kernel http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.1.2-unstable/ 安卓sdk代理 mirrors.neusoft.edu.cn        80 输入法和jdk sudo apt-get install fcitx su
  • Tomcat JDBC Connection Pool g21121 Connection
           Tomcat7 抛弃了以往的DBCP 采用了新的Tomcat Jdbc Pool 作为数据库连接组件,事实上DBCP已经被Hibernate 所抛弃,因为他存在很多问题,诸如:更新缓慢,bug较多,编译问题,代码复杂等等。        Tomcat Jdbc P
  • 敲代码的一点想法 永夜-极光 java随笔感想
                  入门学习java编程已经半年了,一路敲代码下来,现在也才1w+行代码量,也就菜鸟水准吧,但是在整个学习过程中,我一直在想,为什么很多培训老师,网上的文章都是要我们背一些代码?比如学习Arraylist的时候,教师就让我们先参考源代码写一遍,然
  • jvm指令集 程序员是怎么炼成的 jvm 指令集
    转自:http://blog.csdn.net/hudashi/article/details/7062675#comments       将值推送至栈顶时 const ldc  push   load指令 const系列 该系列命令主要负责把简单的数值类型送到栈顶。(从常量池或者局部变量push到栈顶时均使用) 0x02 &nbs
  • Oracle字符集的查看查询和Oracle字符集的设置修改 aijuans oracle
    本文主要讨论以下几个部分:如何查看查询oracle字符集、 修改设置字符集以及常见的oracle utf8字符集和oracle exp 字符集问题。 一、什么是Oracle字符集 Oracle字符集是一个字节数据的解释的符号集合,有大小之分,有相互的包容关系。ORACLE 支持国家语言的体系结构允许你使用本地化语言来存储,处理,检索数据。它使数据库工具,错误消息,排序次序,日期,时间,货
  • png在Ie6下透明度处理方法 antonyup_2006 css浏览器FirebugIE
    由于之前到深圳现场支撑上线,当时为了解决个控件下载,我机器上的IE8老报个错,不得以把ie8卸载掉,换个Ie6,问题解决了,今天出差回来,用ie6登入另一个正在开发的系统,遇到了Png图片的问题,当然升级到ie8(ie8自带的开发人员工具调试前端页面JS之类的还是比较方便的,和FireBug一样,呵呵),这个问题就解决了,但稍微做了下这个问题的处理。 我们知道PNG是图像文件存储格式,查询资
  • 表查询常用命令高级查询方法(二) 百合不是茶 oracle分页查询分组查询联合查询
    ----------------------------------------------------分组查询 group by    having   --平均工资和最高工资   select avg(sal)平均工资,max(sal)  from emp ;  --每个部门的平均工资和最高工资
  • uploadify3.1版本参数使用详解 bijian1013 JavaScriptuploadify3.1
    使用:     绑定的界面元素<input id='gallery'type='file'/>$("#gallery").uploadify({设置参数,参数如下}); 设置的属性: id: jQuery(this).attr('id'),//绑定的input的ID langFile: 'http://ww
  • 精通Oracle10编程SQL(17)使用ORACLE系统包 bijian1013 oracle数据库plsql
    /* *使用ORACLE系统包 */ --1.DBMS_OUTPUT --ENABLE:用于激活过程PUT,PUT_LINE,NEW_LINE,GET_LINE和GET_LINES的调用 --语法:DBMS_OUTPUT.enable(buffer_size in integer default 20000); --DISABLE:用于禁止对过程PUT,PUT_LINE,NEW
  • 【JVM一】JVM垃圾回收日志 bit1129 垃圾回收
    将JVM垃圾回收的日志记录下来,对于分析垃圾回收的运行状态,进而调整内存分配(年轻代,老年代,永久代的内存分配)等是很有意义的。JVM与垃圾回收日志相关的参数包括: -XX:+PrintGC -XX:+PrintGCDetails -XX:+PrintGCTimeStamps -XX:+PrintGCDateStamps -Xloggc -XX:+PrintGC 通
  • Toast使用 白糖_ toast
    Android中的Toast是一种简易的消息提示框,toast提示框不能被用户点击,toast会根据用户设置的显示时间后自动消失。     创建Toast 两个方法创建Toast makeText(Context context, int resId, int duration)     参数:context是toast显示在
  • angular.identity boyitech AngularJSAngularJS API
    angular.identiy 描述: 返回它第一参数的函数. 此函数多用于函数是编程. 使用方法: angular.identity(value); 参数详解: Param Type Details value * to be returned. 返回值: 传入的value 实例代码: <!DOCTYPE HTML>
  • java-两整数相除,求循环节 bylijinnan java
    import java.util.ArrayList; import java.util.List; public class CircleDigitsInDivision { /** * 题目:求循环节,若整除则返回NULL,否则返回char*指向循环节。先写思路。函数原型:char*get_circle_digits(unsigned k,unsigned j)
  • Java 日期 周 年 Chen.H javaC++cC#
    /** * java日期操作(月末、周末等的日期操作) * * @author * */ public class DateUtil { /** */ /** * 取得某天相加(减)後的那一天 * * @param date * @param num *
  • [高考与专业]欢迎广大高中毕业生加入自动控制与计算机应用专业 comsci 计算机
          不知道现在的高校还设置这个宽口径专业没有,自动控制与计算机应用专业,我就是这个专业毕业的,这个专业的课程非常多,既要学习自动控制方面的课程,也要学习计算机专业的课程,对数学也要求比较高.....如果有这个专业,欢迎大家报考...毕业出来之后,就业的途径非常广.....      以后
  • 分层查询(Hierarchical Queries) daizj oracle递归查询层次查询
    Hierarchical Queries If a table contains hierarchical data, then you can select rows in a hierarchical order using the hierarchical query clause: hierarchical_query_clause::= start with condi
  • 数据迁移 daysinsun 数据迁移
    最近公司在重构一个医疗系统,原来的系统是两个.Net系统,现需要重构到java中。数据库分别为SQL Server和Mysql,现需要将数据库统一为Hana数据库,发现了几个问题,但最后通过努力都解决了。 1、原本通过Hana的数据迁移工具把数据是可以迁移过去的,在MySQl里面的字段为TEXT类型的到Hana里面就存储不了了,最后不得不更改为clob。 2、在数据插入的时候有些字段特别长
  • C语言学习二进制的表示示例 dcj3sjt126com cbasic
    进制的表示示例 # include <stdio.h> int main(void) { int i = 0x32C; printf("i = %d\n", i); /* printf的用法 %d表示以十进制输出 %x或%X表示以十六进制的输出 %o表示以八进制输出 */ return 0; }
  • NsTimer 和 UITableViewCell 之间的控制 dcj3sjt126com ios
    情况是这样的: 一个UITableView, 每个Cell的内容是我自定义的 viewA viewA上面有很多的动画, 我需要添加NSTimer来做动画, 由于TableView的复用机制, 我添加的动画会不断开启, 没有停止, 动画会执行越来越多.   解决办法: 在配置cell的时候开始动画, 然后在cell结束显示的时候停止动画   查找cell结束显示的代理
  • MySql中case when then 的使用 fanxiaolong casewhenthenend
    select "主键", "项目编号", "项目名称","项目创建时间", "项目状态","部门名称","创建人" union (select pp.id as "主键", pp.project_number as &
  • Ehcache(01)——简介、基本操作 234390216 cacheehcache简介CacheManagercrud
    Ehcache简介 目录 1       CacheManager 1.1      构造方法构建 1.2      静态方法构建 2       Cache 2.1&
  • 最容易懂的javascript闭包学习入门 jackyrong JavaScript
    http://www.ruanyifeng.com/blog/2009/08/learning_javascript_closures.html 闭包(closure)是Javascript语言的一个难点,也是它的特色,很多高级应用都要依靠闭包实现。 下面就是我的学习笔记,对于Javascript初学者应该是很有用的。 一、变量的作用域 要理解闭包,首先必须理解Javascript特殊
  • 提升网站转化率的四步优化方案 php教程分享 数据结构PHP数据挖掘Google活动
    网站开发完成后,我们在进行网站优化最关键的问题就是如何提高整体的转化率,这也是营销策略里最最重要的方面之一,并且也是网站综合运营实例的结果。文中分享了四大优化策略:调查、研究、优化、评估,这四大策略可以很好地帮助用户设计出高效的优化方案。 PHP开发的网站优化一个网站最关键和棘手的是,如何提高整体的转化率,这是任何营销策略里最重要的方面之一,而提升网站转化率是网站综合运营实力的结果。今天,我就分
  • web开发里什么是HTML5的WebSocket? naruto1990 Webhtml5浏览器socket
    当前火起来的HTML5语言里面,很多学者们都还没有完全了解这语言的效果情况,我最喜欢的Web开发技术就是正迅速变得流行的 WebSocket API。WebSocket 提供了一个受欢迎的技术,以替代我们过去几年一直在用的Ajax技术。这个新的API提供了一个方法,从客户端使用简单的语法有效地推动消息到服务器。让我们看一看6个HTML5教程介绍里 的 WebSocket API:它可用于客户端、服
  • Socket初步编程——简单实现群聊 Everyday都不同 socket网络编程初步认识
    初次接触到socket网络编程,也参考了网络上众前辈的文章。尝试自己也写了一下,记录下过程吧:   服务端:(接收客户端消息并把它们打印出来)   public class SocketServer { private List<Socket> socketList = new ArrayList<Socket>(); public s
  • 面试:Hashtable与HashMap的区别(结合线程) toknowme
    昨天去了某钱公司面试,面试过程中被问道 Hashtable与HashMap的区别?当时就是回答了一点,Hashtable是线程安全的,HashMap是线程不安全的,说白了,就是Hashtable是的同步的,HashMap不是同步的,需要额外的处理一下。   今天就动手写了一个例子,直接看代码吧 package com.learn.lesson001; import java
  • MVC设计模式的总结 xp9802 设计模式mvc框架IOC
    随着Web应用的商业逻辑包含逐渐复杂的公式分析计算、决策支持等,使客户机越 来越不堪重负,因此将系统的商业分离出来。单独形成一部分,这样三层结构产生了。 其中‘层’是逻辑上的划分。 三层体系结构是将整个系统划分为如图2.1所示的结构[3] (1)表现层(Presentation layer):包含表示代码、用户交互GUI、数据验证。 该层用于向客户端用户提供GUI交互,它允许用户
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他