進程(Process)是具有一定獨立功能的程序關于某個數(shù)據(jù)集合上的一次運行活動,是系統(tǒng)進行資源分配和調度的一個獨立單位。程序只是一組指令的有序集合,它本身沒有任何運行的含義,只是一個靜態(tài)實體。而進程則不同,它是程序在某個數(shù)據(jù)集上的執(zhí)行,是一個動態(tài)實體。它因創(chuàng)建而產生,因調度而運行,因等待資源或事件而被處于等待狀態(tài),因完成任務而被撤消,反映了一個程序在一定的數(shù)據(jù)集上運行的全部動態(tài)過程。
線程(Thread)是進程的一個實體,是CPU調度和分派的基本單位。線程不能夠獨立執(zhí)行,必須依存在進程中,由進程提供多個線程執(zhí)行控制。從內核角度講線程是活動體對象,而進程只是一組靜態(tài)的對象集,進程必須至少擁有一個活動線程才能維持運轉。當某個應用程序調用一個創(chuàng)建進程的函數(shù)比如CreateProcess或者用戶執(zhí)行某一個程序(其實windows下用戶執(zhí)行一般普通程序是由explorer.exe調用CreateProcess來完成),操作系統(tǒng)把這個過程分成以下步驟來完成:
1.打開將要在該進程中執(zhí)行的映像文件。
2.創(chuàng)建Windows執(zhí)行體進程對象。
3.創(chuàng)建初始線程(棧、堆執(zhí)行環(huán)境初始化及執(zhí)行線程體對象)。
4.通知Windows子系統(tǒng)新進程創(chuàng)建了(子系統(tǒng)是操作系統(tǒng)的一部分它是一個協(xié)助操作系統(tǒng)內核管理用戶態(tài)/客戶方的一個子系統(tǒng)具體的進程為Csrss.exe)。
5.開始執(zhí)行初始線程(如果創(chuàng)建時候指定了線程的CREATE_SUSPENDED狀態(tài)則線程暫時掛起不執(zhí)行)。
6.在新進程和線程環(huán)境中完成地址空間的初始化(比如加載必須的DLL和庫),然后開始到進程入口執(zhí)行。
到這里操作系統(tǒng)完成一個新進程的創(chuàng)建過程。
下面來看下具體每一步操作系統(tǒng)所做的工作:
1.打開將要在該進程中執(zhí)行的映像文件。
首先操作系統(tǒng)找到執(zhí)行的Windows映像然后創(chuàng)建一個內存區(qū)對象,以便后面將它映射到新的進程地址空間中。
2.創(chuàng)建Windows執(zhí)行體進程對象。
接下來操作系統(tǒng)調用內部的系統(tǒng)函數(shù)NtCreateProcess來創(chuàng)建一個Windwos執(zhí)行體進程對象。具體步驟是:
(1)建立EPROCESS
*分配并初始化EPROCESS結構塊
*從父進程處繼承得到進程的親和性掩碼
*分配進程的最大最小工作集尺(由兩個參數(shù)決定PsMinimumWorkingSet PsMaximumWorkingSet)
*降新進程的配額塊設置為父進程配額塊地址,并遞增父進程配額塊的引用計數(shù)
*繼承Windows的設備名字空間
*將父進程進程ID保存在新進程對象的InheritedFormUniqueProcessId中
*創(chuàng)建該進程的主訪問令牌
*初始化進程句柄表
*將新進程的退出狀態(tài)設置為STATUS_PENDING
(2)創(chuàng)建初始的進程地址空間
*在適當?shù)捻摫碇袆?chuàng)建頁表項,以映射初始頁面
*從MmresidentAvailablePage算出進程工作集大小
*系統(tǒng)空間的非換頁部分和系統(tǒng)緩存的頁表被映射到進程
(3)初始化內核進程塊KPROCESS
(4)結束進程地址空間的創(chuàng)建過程
(5)建立PEB
(6)完成執(zhí)行體進程對象的創(chuàng)建過程
3.創(chuàng)建初始線程(棧、堆執(zhí)行環(huán)境初始化及執(zhí)行線程體對象)。
這時候Windows執(zhí)行體進程對象已經完全建立完成,但它還沒有線程所以無法執(zhí)行,
接下來系統(tǒng)調用NtCreateThread來創(chuàng)建一個掛起的新線程它就是進程的主線程體。
4.通知Windows子系統(tǒng)新進程創(chuàng)建了(子系統(tǒng)是操作系統(tǒng)的一部分它是一個協(xié)助操作系統(tǒng)內核管理用戶態(tài)/客戶方的一個子系統(tǒng)具體的進程為Csrss.exe)。
接下來操作系統(tǒng)通過客戶態(tài)(Kernel32.dll)給Windows子系統(tǒng)(Csrss)發(fā)送一個新進程線程創(chuàng)建的數(shù)據(jù)消息,讓子系統(tǒng)建立自己的進程線程管理塊。當Csrss接收到該消息時候執(zhí)行下面的處理:
*復制一份該進程和線程句柄
*設置進程優(yōu)先級
*分配Csrss進程塊
*把新進程的異常處理端口綁定到Csrss中,這樣當該進程發(fā)生異常時,Csrss將會接收到異常消息
*分配和初始化Csrss線程塊
*把線程插入到進程的線程列表中
*把進程插入到Csrss的線程列表中
*顯示進程啟動光標
5.開始執(zhí)行初始線程(如果創(chuàng)建時候指定了線程的CREATE_SUSPENDED狀態(tài)則線程暫時掛起不執(zhí)行)。到這里進程環(huán)境已經建立完畢進程中開始創(chuàng)建的主線程到這里獲得執(zhí)行權開始執(zhí)行線程
6.在新進程和線程環(huán)境中完成地址空間的初始化(比如加載必須的DLL和庫),然后開始到進程入口執(zhí)行。到這步實質是調用ldrInitializeThunk來初始化加載器,堆管理器NLS表TLS數(shù)組以及臨界區(qū)結構,并且加載任何必須要DLL并且用DLL_PROCESS_ATTACH功能代碼來調用各DLL入口點,最后當加載器初始化例程返回到用戶模式APC分發(fā)器時進程映像開始在用戶模式下執(zhí)行,然后它調用線程啟動函數(shù)開始執(zhí)行。
到這里操作系統(tǒng)完成了所有的創(chuàng)建工作,我們寫的程序就這樣被操作系統(tǒng)調用運行起來了。