了解进程线程的概念后,我们就来看看windows里面的进程长什么样子的。进程本质上就是一个结构体。在Linux里面也称之为进程描述符。当操作系统创建一个进程的时候,它会填充一个结构体,往这个结构体里写入数据,这个结构体就用于管理这个进程了。
在windows里面,每个进程在0环都有一个结构体,也就是说这个结构体是在内核中创建的。这个结构体叫EPROCESS,里面包含了很多重要的信息。
想要查看这个结构体,我们可以使用windng的命令dt _EPROCESS来查看这个结构体,如图:
后面还有我就不截图了,我们只需要知道一些重要的结构体就可以了。看到第一个成员Pcb,它也是一个结构体。我们可以看看长什么样子:
我们看到第三个成员DirectoryTableBase,这是个页目录表基址,这个成员非常重要,它能找到所有物理页地址。所谓的进程切换就是把这个页目录表基址填充到CR3,然后切换CR3去执行。接下来我们看这2个成员:
他们分别表示当前的进程在内核运行的时间,和在用户态运行的时间。
这个成员规定了进程里面所有的线程能在哪个CPU上跑,我们知道CPU是有很多核心的,而且是多线程的。像我换的新电脑线程数高达32个,如果值为1,那就是这个进程的所有线程只能在0号CPU上跑。比如1的二进制是(00000001),一个比特位代表一个CPU,只有第0号比特位是置1的因此只能在0号CPU上跑,32位系统最多能有32个核。
这个成员叫基本优先级。当我们在进程中创建线程的时候都会参考这个优先级。
我们接着回到EPROCESS这个结构体中去看
这两个成员分别是进程的创建时间和退出时间。
这个成员就是我们进程的身份证号码,也就是它的PID。在任务管理器里面看到的就是这个。
这个成员是一个双向链表,它把所有的活动进程都链接在一起,构成了一个链表。PsActiveProcessHead这个全局变量指向全局链表头。图示大概长这样:
了解了这个我们可以通过一些手段进行进程隐藏。比如说你不想你的进程出现在任务管理器。通过遍历找到你的进程,然后修改前后指针。这样能做到一个简易的进程隐藏效果。
这两个成员跟物理页相关。
是用来统计当前进程所使用了哪些物理页 。我们知道每个程序都有自己独立的4GB内存空间(在32位系统中),但是不可能4GB全部都给你分配。用到哪些就分配哪些,这些记录就在这两个成员里。
这三个成员就是跟虚拟内存的统计信息有关。
这个成员非常重要,和我们的内存管理那里是息息相关。它描述了我们内存空间中0-2GB还有哪些 地址没有被分配占用。这个成员指向了一个平衡二叉树,里面就记录了哪些分配了哪些没分配。
这两个成员跟调试相关。有兴趣可以查查资料。我只做简单介绍。
ObjectTable这是句柄表。
在0x1b0这个位置的成员是一个Peb,这是三环描述进程的结构体。也就是给用户态用的。
大概的EPROCESS成员就介绍到这里。
