windows创建进程的用户态和内核态交互----小话windows(1)
作者：陈曦

日期：2012-6-19 12:28:30

环境：[win7  Intel-based  x64  vs2010] 

转载请注明出处

Q： 在windows下，调用CreateProcess这个API来创建进程，它内部究竟做了什么？

A： 对于操作系统，一般肯定是分层的。内核将处理最终的创建进程操作，但是它的上层可能有一些模块，进行一些参数合法性判断或者为了可移植考虑的判断。windows同样不例外。看看windows下面内核上面的模块：

不妨先写一个CreateProcess的程序，通过逆向工程得到内部调用的东西。

Q： 如下代码：

#include <windows.h> #include <stdio.h> int main() { PROCESS_INFORMATION processInfo; STARTUPINFOA startupInfo; ZeroMemory(&processInfo, sizeof(processInfo)); ZeroMemory(&startupInfo, sizeof(startupInfo)); startupInfo.cb = sizeof(startupInfo); BOOL ret = CreateProcessA(NULL, "c:\\windows\\system32\\cmd.exe", NULL, NULL, false, 0, NULL, NULL, &startupInfo, &processInfo); if(ret) printf("create process ok...\n"); else { printf("create process failed...\n"); printf("error is %d", GetLastError()); } return 0; }
编译成CreateProcessDemo.exe, 运行：

可以看出，它正确地创建了进程。

A：  下面我们将找出哪个模块包含CreateProcessA函数。进入VS的命令行工具，

使用如下命令dumpbin.exe  /all  CreateProcessDemo.exe  >  d:\dumpbin_createprocessdemo.txt得到所有dump的信息，找到如下信息：

KERNEL32.dll 41819C Import Address Table 41803C Import Name Table 0 time date stamp 0 Index of first forwarder reference A4 CreateProcessA 1C0 GetCurrentProcess 4C0 TerminateProcess 162 FreeLibrary 4F1 VirtualQuery 214 GetModuleFileNameW 24A GetProcessHeap 2CB HeapAlloc 2CF HeapFree 279 GetSystemTimeAsFileTime 1C1 GetCurrentProcessId 1C5 GetCurrentThreadId 293 GetTickCount 3A7 QueryPerformanceCounter CA DecodePointer 4A5 SetUnhandledExceptionFilter
可以看出，CreateProcessA是在KERNEL32.DLL中被引用的。

Q： 现在我们可以在kernel32.dll中查看CreateProcessA的调用关系了？

A： 是的。使用ida，打开系统目录下面的kernel32.dll, 并查找CreateProcessA函数的位置：

可以在靠近最后的时候发现调用CreateProcessInternalA例程。

Q： 继续查找CreateProcessInternalA例程的内部实现,它最终会调用CreateProcessInternalW来实现。继续查找CreateProcessInternalW的实现，发现它最终会调用NtCreateUserProcess例程(在xp下，会调用NtCreateProcessEx).此例程不在kernel32.dll中，它在哪里？

A： 正如上面的图示描述，它以nt开头，它在ntdll.dll中。同样适用ida打开ntdll.dll, 找到NtCreateUserProcess的实现：

Q： ZwCreateUserProcess是什么，好像和NtCreateUserProcess是一样的？

A： 仅仅在ntdll.dll中来说，依照上面的截图，它们是一致的；可是在内核中，它们不完全一致。Nt开头的例程会进行访问权限和参数合法性判断，而Zw不会，Zw它可以由内核模式代码直接使用；同时，调用Zw开头的例程会将先前的模式改变为内核模式，而使用Nt开头的例程不能。

Q： 刚刚所说的用户模式是如何进入内核模式的？

A： 上面的ntdll.dll中执行依然是用户模式，NtCreateUserProcess通过向eax传入中断号, edx传入7FFE0300H为参数地址来进行系统调用，进入内核模式。它的内部实现为：

NTSTATUS NtCreateProcess( //创建进程 __out PHANDLE ProcessHandle, //进程句柄的指针 __in ACCESS_MASK DesiredAccess, __in_opt POBJECT_ATTRIBUTES ObjectAttributes, __in HANDLE ParentProcess, //父进程句柄 __in BOOLEAN InheritObjectTable, //是否继承句柄表 __in_opt HANDLE SectionHandle, __in_opt HANDLE DebugPort, //调试 <div class="clearfix"></div> </div> <nav aria-label="..."> <ul class="pager"> <li class="previous"><a href="16984">上一篇：在 Windows 中Wi-Fi相关信息查看命令，查看是否支持WIFI6等</a></li> <li class="next"><a href="5651">下一篇： 一个电脑爱好者的不完整回忆（二十）第一个windows程序 </a></li> </ul> </nav> <div class="alert alert-warning" role="alert"> <strong>免责声明：</strong> 本文仅代表作者个人观点，与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。 </div> <div class="panel panel-default"> <div class="panel-heading"> <h3 class="panel-title">相关资料<span><a target="_blank" class="pull-right" href="/windows/">更多></a></span></h3> </div> <div class="panel-body row"> <ol> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/6821' title=' 怎么映射内网VPN服务器到外网？ ' target="_blank"> 怎么映射内网VPN服务器到外网？ </a></li></div> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/10058' title=' Windows 2000 Server活动目录恢复有关问题 ' target="_blank"> Windows 2000 Server活动目录恢复有关问题 </a></li></div> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/5074' title=' Windows窗口跟消息(2) ' target="_blank"> Windows窗口跟消息(2) </a></li></div> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/10485' title=' 两台Win2003不采用磁盘阵列柜，仅使用本身的集群功能，如何做热备 ' target="_blank"> 两台Win2003不采用磁盘阵列柜，仅使用本身的集群功能，如何做热备 </a></li></div> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/14838' title=' 批处理怎么设置变量带有“与” ' target="_blank"> 批处理怎么设置变量带有“与” </a></li></div> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/15442' title=' win32位2g的内存新添加一根内存条后，读取不出来，求帮助解决方法 ' target="_blank"> win32位2g的内存新添加一根内存条后，读取不出来，求帮助解决方法 </a></li></div> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/6587' title=' 网络不稳定！解决思路 ' target="_blank"> 网络不稳定！解决思路 </a></li></div> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/7407' title=' VM的有关问题 ' target="_blank"> VM的有关问题 </a></li></div> <div class="col-md-6 col-xs-12"> <li class="articleAbout"><a href='/windows/3041' title=' 新装配的win8里面找不到Terminal Services服务 ' target="_blank"> 新装配的win8里面找不到Terminal Services服务 </a></li></div> </ol> </div> </div> </div> <div class="col-lg-4 hidden-sm hidden-xs"> <!--右边的内容--> <a id="AdPageRight1_AdPageRight" href="http://www.tdyun.com/cloud/?aiyiweb" target="_blank"><img class="img-responsive" src="/images/TdPageAd/vps.png" alt="香港云服务器 免备案 云主机VPS 国内 独立IP 独享15M 月付SSD" /></a> <script src='/Scripts/AdContentPage300_1.js' language='javascript'></script> <script src='/Scripts/AdContentPage300_2.js' language='javascript'></script> <script src='/Scripts/AdContentPage300_3.js' language='javascript'></script> <div class="panel panel-default"> <div class="panel-heading"> <h3 class="panel-title">推荐阅读<span><a target="_blank" class="pull-right" href="/windows/">更多></a></span></h3> </div> <div class="panel-body"> <ol> <li class="articleAbout"><a href=/windows/12398 title=' 打开显示器,主机也会自动开启,该如何处理 ' target="_blank"> 打开显示器,主机也会自动开启,该如何处理 </a></li> <li class="articleAbout"><a href=/windows/14025 title=' 事件查看器自动关闭的有关问题[MMC出错][2003企业版] ' target="_blank"> 事件查看器自动关闭的有关问题[MMC出错][2003企业版] </a></li> <li class="articleAbout"><a href=/windows/9669 title=' 大家觉得现在那个编辑器好用,该怎么处理 ' target="_blank"> 大家觉得现在那个编辑器好用,该怎么处理 </a></li> <li class="articleAbout"><a href=/windows/1750 title=' 网页打不开，能登QQ、玩游戏、看网络电视，求教高手,该如何解决 ' target="_blank"> 网页打不开，能登QQ、玩游戏、看网络电视，求教高手,该如何解决 </a></li> <li class="articleAbout"><a href=/windows/8003 title=' 关于virtual pc安装xp系统,该怎么解决 ' target="_blank"> 关于virtual pc安装xp系统,该怎么解决 </a></li> <li class="articleAbout"><a href=/windows/14072 title=' 请教怎么记录局域网内上网IP ' target="_blank"> 请教怎么记录局域网内上网IP </a></li> <li class="articleAbout"><a href=/windows/1857 title=' 电脑圆桌面什么都没了 ' target="_blank"> 电脑圆桌面什么都没了 </a></li> <li class="articleAbout"><a href=/windows/7971 title=' 路由器怎么实现教育网和外网同时上的有关问题 ' target="_blank"> 路由器怎么实现教育网和外网同时上的有关问题 </a></li> <li class="articleAbout"><a href=/windows/5424 title=' Ubuntu停解压缩Windows下文件出现乱码 ' target="_blank"> Ubuntu停解压缩Windows下文件出现乱码 </a></li> <li class="articleAbout"><a href=/windows/14627 title=' IIS Admin Service 服务无法启动，报异常：5010 对象已存在 ' target="_blank"> IIS Admin Service 服务无法启动，报异常：5010 对象已存在 </a></li> <li class="articleAbout"><a href=/windows/11599 title=' 访问win7共享解决办法 ' target="_blank"> 访问win7共享解决办法 </a></li> <li class="articleAbout"><a href=/windows/11604 title=' 双网卡同时上内外网,该怎么解决 ' target="_blank"> 双网卡同时上内外网,该怎么解决 </a></li> <li class="articleAbout"><a href=/windows/12702 title=' 鼠标点击屏幕某处无反映解决方法 ' target="_blank"> 鼠标点击屏幕某处无反映解决方法 </a></li> <li class="articleAbout"><a href=/windows/7204 title=' 求救所有游戏安装程序出错．．．解决办法 ' target="_blank"> 求救所有游戏安装程序出错．．．解决办法 </a></li> <li class="articleAbout"><a href=/windows/3672 title=' Java兑现Windows系统服务(转) ' target="_blank"> Java兑现Windows系统服务(转) </a></li> <li class="articleAbout"><a href=/windows/4925 title=' windows程序设计相干思想 ' target="_blank"> windows程序设计相干思想 </a></li> <li class="articleAbout"><a href=/windows/12162 title=' ie浏览器标题出现乱码 ' target="_blank"> ie浏览器标题出现乱码 </a></li> <li class="articleAbout"><a href=/windows/11095 title=' windows xp上 *udl文件连接oracle 小结 ' target="_blank"> windows xp上 *udl文件连接oracle 小结 </a></li> <li class="articleAbout"><a href=/windows/7974 title=' Linux 虚拟机能ping，不能telnet解决思路 ' target="_blank"> Linux 虚拟机能ping，不能telnet解决思路 </a></li> <li class="articleAbout"><a href=/windows/14496 title=' 【IIS中的FTP配置信息在那里？】解决方案 ' target="_blank"> 【IIS中的FTP配置信息在那里？】解决方案 </a></li> </ol> </div> </div> </div> </div> <div class="clearfix"></div> <footer class=" footer navbar-bottom"> <em>友情链接：</em> <a href="http://www.aiyiweb.com/" target="_blank">爱易网 </a> <a href="http://www.aiyiweb.com/" target="_blank">云虚拟主机技术 </a> <a href="http://www.aiyiweb.com/" target="_blank">云服务器技术 </a> <a href="http://www.aiyiweb.com/" target="_blank">程序设计技术 </a> <a href="http://www.aiyiweb.com/" target="_blank">开发网站 </a> <a href="http://www.aiyiweb.com/" target="_blank">APP开发教程 </a> <br /> <script type="text/javascript">(function(){document.write(unescape('%3Cdiv id="bdcs"%3E%3C/div%3E'));var bdcs = document.createElement('script');bdcs.type = 'text/javascript';bdcs.async = true;bdcs.src = 'http://znsv.baidu.com/customer_search/api/js?sid=15239353030108964139' + '&plate_url=' + encodeURIComponent(window.location.href) + '&t=' + Math.ceil(new Date()/3600000);var s = document.getElementsByTagName('script')[0];s.parentNode.insertBefore(bdcs, s);})();</script> Copyright © 2013-2024 爱易网页 当前在线：1084人　 网站在9时11分47秒内访问总人数：166977人 当前 55.85% 　<a href="https://beian.miit.gov.cn" target="_blank">粤ICP备18100884号-2 </a> <script charset="UTF-8" id="LA_COLLECT" src="//sdk.51.la/js-sdk-pro.min.js"></script> <script>LA.init({ id: "JszEmKrtpbU59dY5", ck: "JszEmKrtpbU59dY5" })</script> </footer> </div> </body> </html>