什么是进程
进程就好比一个仓库,仅仅提供程序所需的资源,比如代码,数据等,是一种空间上的概念
进程空间的概念
- 对于32位windows程序,每个进程都有4G的虚拟内存空间(这是计算机历史最成功的抽象技术之一,将本来复杂的物理内存地址和虚拟内存(这个虚拟内存指的是将磁盘临时当做内存所产生的空间)地址映射为简单的4G地址空间)
- 对于每个进程的4G空间,可大致分为4个区域
- 空指针赋值区 0x00000000 ——0x0000FFFF 64K的空闲空间,没有物理内存与之对应,所以通过空指针进行读写会出现异常。C++的任何代码都会存储在进程的虚拟内存中,为了保证空指针绝对不会指向任何区域,所以设计了空指针赋值区。至于设计64KB的原因,windows 的分配粒度64KB,这只是为了达到空间对齐。
- 用户模式区 0x00010000 —— 0x7FFEFFFF 4G空间只有这里是供用户操作的,用户定义的所有代码都存储在这里。
- 禁入区 0x7FFF0000 —— 0x7FFFFFFF 为了隔离用户和内核空间,为了防止用户程序跨越到内核空间中,因为32位windows的分配粒度为64K,设置64K的禁入区既可以对齐分配粒度,又可以防止在用户区分配64K的内存而跨入到内核区(个人猜想)
- 内核区 0x80000000 —— 0xFFFFFFFF的区域,该区域是所有的进程共享,其实每个进程专属的也就2G,
程序加载为进程的过程
首先要明白,windows任何进程都是由其他进程创建的(当然了,Windows启动管理器程序现在被认为是windows的第一个进程,它是由MBR直接读取的,MBR被认为是固件程序了),我们双击一个.exe文件创建一个进程时,windows内核进程explorer.exe会执行使这个.exe文件变为进程的操作(调用了createprocess函数)。
进程创建的过程
- 映射.exe文件,映射到用户模式区,空指针放到空指针赋值区中
- 创建进程内核对象 EPROCESS,windows通过该内核对象管理进程
- 映射系统dll(ntdll.dll。。),这个dll是windows存放驱动设备的dll文件,有些还会放入一些其他的内核dll,ntdll必须放入。
- 创建线程内核对象 ETHREAD
- 系统启动线程
映射该进程的全部dll
线程开始执行
进程的创建函数
CreateProcess的详细过程会在3中讲解
BOOL CreateProcess
(
//启动的进程路径
LRESULT lpApplicationName,
//启动进程时附带的命令行参数
LPTSRT lpCmdLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandle,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCTSTR lpCurrentDirectory,
//进程的启动信息,是输入参数,表明新进程怎们创建
LPSTARTUPINFO lpStartupInfo,
//进程的创建信息,是输出参数,表示新创建的进程的数据
LPPROCESS_INFORMATION lpProcessInformation,
)
