Windows进程和作业

Windows进程和作业

本章将介绍Windows在处理进程和作业时涉及的数据结构和算法。首先概括介绍进程的创建过程,随后介绍进程的内部结构,接下来还会介绍进程保护机制,以及受保护进程和不受保护进程的区别。

3.1 创建进程

windowsAPI提供了很多用于创建进程的函数,其中最简单的就是CreateProcess该函数会尝试使用与创建者相同的访问令牌新建一个进程。如果需要不同的令牌,可以使用CreateProcessAsUser函数,该函数可以接受一个额外的参数(第一个参数),即已经通过其他方式(如调用LogonUser函数)获取的令牌对象句柄。

进程创建的函数都会涉及到一个通用的内部函数(处于Kernel32.dll)的CreateProcessInternal函数,该函数将启动创建用户模式windows进程的实际工作。如果一切顺利的话,它会在内核层中的NtCreateUserProcess中继续执行进程创建过程中需要在内核模式下执行的工作。

3.1.1 CreateProcess*函数的参数

用户模式下创建的进程在创建时始终会在其中包含一个线程,这个线程最终将执行可执行文件的主函数。

1
2
3
4
5
6
7
8
9
10
11
12
BOOL CreateProcessA(
  [in, optional]      LPCSTR                lpApplicationName,
  [in, out, optional] LPSTR                 lpCommandLine,
  [in, optional]      LPSECURITY_ATTRIBUTES lpProcessAttributes,
  [in, optional]      LPSECURITY_ATTRIBUTES lpThreadAttributes,
  [in]                BOOL                  bInheritHandles,
  [in]                DWORD                 dwCreationFlags,
  [in, optional]      LPVOID                lpEnvironment,
  [in, optional]      LPCSTR                lpCurrentDirectory,
  [in]                LPSTARTUPINFOA        lpStartupInfo,
  [out]               LPPROCESS_INFORMATION lpProcessInformation
);

其中分别代表的参数有:

  1. 创建的应用程序名称
  2. 命令行参数
  3. 该 结构确定子进程是否可以继承返回到新进程对象的句柄,如果//lpProcessAttributes为****NULL******,则不能继承该句柄
  4. 该 结构确定子进程是否可以继承返回到新线程对象的句柄,如果//lpThreadAttributes为NULL,则不能继承该句柄
  5. 如果此参数为TRUE,则新进程将继承调用进程中的每个可继承句柄。
  6. dwCreationFlags // 控制优先级类别和流程创建的标志
    1. 例如有:CREATE_SUSPENDED 新进程的主线程在挂起状态下创建,随后可调用Resume Thread执行该线程。
    2. DEBUG_PROCESS。将创建的进程宣告为调试器,并在其控制下新建进程。
  7. 指向新进程的环境块的指针
  8. 进程当前目录的完整路径
  9. 设置扩展属性
  10. 在进程创建成功后,用于提供输出的PROCESS_INFORMATION结构。该结构包含了新产生的唯一进程ID,新产生的唯一线程ID,以及新进程的一个句柄和新线程的句柄。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
#include <windows.h>
#include <stdio.h>
#include <tchar.h>

void _tmain( int argc, TCHAR *argv[] )
{
    STARTUPINFO si;
    PROCESS_INFORMATION pi;

    ZeroMemory( &si, sizeof(si) );
    si.cb = sizeof(si);
    ZeroMemory( &pi, sizeof(pi) );

    if( argc != 2 )
    {
        printf("Usage: %s [cmdline]\n", argv[0]);
        return;
    }

    // Start the child process. 
    if( !CreateProcess( NULL,   // No module name (use command line)
        argv[1],        // Command line
        NULL,           // Process handle not inheritable
        NULL,           // Thread handle not inheritable
        FALSE,          // Set handle inheritance to FALSE
        0,              // No creation flags
        NULL,           // Use parent's environment block
        NULL,           // Use parent's starting directory 
        &si,            // Pointer to STARTUPINFO structure
        &pi )           // Pointer to PROCESS_INFORMATION structure
    ) 
    {
        printf( "CreateProcess failed (%d).\n", GetLastError() );
        return;
    }

    // Wait until child process exits.
    WaitForSingleObject( pi.hProcess, INFINITE );

    // Close process and thread handles. 
    CloseHandle( pi.hProcess );
    CloseHandle( pi.hThread );
}

3.1.2 创建windows“现代化”进程

现代化进程也被称为UWP进程,是在win8之后新增的一种应用程序类型。UWP 是创建适用于 Windows 的客户端应用程序的众多方法之一。 UWP 应用使用 WinRT API 来提供强大的 UI 和高级异步功能,这些功能非常适用于 Internet 连接的设备。

特点:

image-20221106204714523

3.1.3 创建其他类型的进程

除了传统的和现代化的进程之外,执行体还可以创建如原生进程(比如会话管理器SMSS),最小进程或Pico进程。

原生进程是在内核直接创建的,因此并没有使用CreateProcessAPI,而是使用了NtCreateUserProcess函数。

windows应用程序无法创建原生进程,因为CreateProcessInternal函数会拒绝类型为”原生子系统”的映像。为了解决类似这样的并发问题,windows专门抽象出了NtCreateUserProcess函数,提供了更简单的包装,用于创建用户模式的进程。

面对最小进程(System进程和Memory Compression进程)是通过NtCreateProcessEx系统调用提供的。

面对Pico进程,可调用助手函数PspCreatePicoProcess,该函数是不可导出的,仅供Pico提供程序通过专用接口使用。

3.2 进程内部构造

每个windows进程都可以用一种执行体进程(EPROCESS)结构来表示,除了包含与进程有关的众多属性,EPROCESS还包含并指向其他一系列相关数据结构。例如,每个进程会有一个或多个线程,每个线程都可以用一个执行体线程(ETHREAD)结构来表示。

EPROCESS及其大部分相关数据结构都位于系统地址空间中。唯一的例外是进程环境块(PEB),它位于进程(用户地址空间中)。

实验

EPROCESS结构展示:

在windbg调试器中,我们可以使用dt nt!_eprocess命令来查看EPROCESS的结构。结构如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
+0x000 Pcb              : _KPROCESS
  +0x2e0 ProcessLock      : _EX_PUSH_LOCK
  +0x2e8 UniqueProcessId  : Ptr64 Void
  +0x2f0 ActiveProcessLinks : _LIST_ENTRY
  +0x300 RundownProtect   : _EX_RUNDOWN_REF
  +0x308 Flags2           : Uint4B
  +0x308 JobNotReallyActive : Pos 0, 1 Bit
  +0x308 AccountingFolded : Pos 1, 1 Bit
  +0x308 NewProcessReported : Pos 2, 1 Bit
  +0x308 ExitProcessReported : Pos 3, 1 Bit
  +0x308 ReportCommitChanges : Pos 4, 1 Bit
  +0x308 LastReportMemory : Pos 5, 1 Bit
  +0x308 ForceWakeCharge  : Pos 6, 1 Bit
  +0x308 CrossSessionCreate : Pos 7, 1 Bit
  +0x308 NeedsHandleRundown : Pos 8, 1 Bit
  +0x308 RefTraceEnabled  : Pos 9, 1 Bit
  +0x308 PicoCreated      : Pos 10, 1 Bit
  +0x308 EmptyJobEvaluated : Pos 11, 1 Bit
  +0x308 DefaultPagePriority : Pos 12, 3 Bits
  +0x308 PrimaryTokenFrozen : Pos 15, 1 Bit
  +0x308 ProcessVerifierTarget : Pos 16, 1 Bit
  +0x308 RestrictSetThreadContext : Pos 17, 1 Bit
  +0x308 AffinityPermanent : Pos 18, 1 Bit
  +0x308 AffinityUpdateEnable : Pos 19, 1 Bit
  +0x308 PropagateNode    : Pos 20, 1 Bit
  +0x308 ExplicitAffinity : Pos 21, 1 Bit
  +0x308 ProcessExecutionState : Pos 22, 2 Bits
  +0x308 EnableReadVmLogging : Pos 24, 1 Bit
  +0x308 EnableWriteVmLogging : Pos 25, 1 Bit
  +0x308 FatalAccessTerminationRequested : Pos 26, 1 Bit
  +0x308 DisableSystemAllowedCpuSet : Pos 27, 1 Bit
  +0x308 ProcessStateChangeRequest : Pos 28, 2 Bits
  +0x308 ProcessStateChangeInProgress : Pos 30, 1 Bit
  +0x308 InPrivate        : Pos 31, 1 Bit
  +0x30c Flags            : Uint4B
  +0x30c CreateReported   : Pos 0, 1 Bit
  +0x30c NoDebugInherit   : Pos 1, 1 Bit
  +0x30c ProcessExiting   : Pos 2, 1 Bit
  +0x30c ProcessDelete    : Pos 3, 1 Bit
  +0x30c ManageExecutableMemoryWrites : Pos 4, 1 Bit
  +0x30c VmDeleted        : Pos 5, 1 Bit
  +0x30c OutswapEnabled   : Pos 6, 1 Bit
  +0x30c Outswapped       : Pos 7, 1 Bit
  +0x30c FailFastOnCommitFail : Pos 8, 1 Bit
  +0x30c Wow64VaSpace4Gb  : Pos 9, 1 Bit
  +0x30c AddressSpaceInitialized : Pos 10, 2 Bits
  +0x30c SetTimerResolution : Pos 12, 1 Bit
  +0x30c BreakOnTermination : Pos 13, 1 Bit
  +0x30c DeprioritizeViews : Pos 14, 1 Bit
  +0x30c WriteWatch       : Pos 15, 1 Bit
  +0x30c ProcessInSession : Pos 16, 1 Bit
  +0x30c OverrideAddressSpace : Pos 17, 1 Bit
  +0x30c HasAddressSpace  : Pos 18, 1 Bit
  +0x30c LaunchPrefetched : Pos 19, 1 Bit
  +0x30c Background       : Pos 20, 1 Bit
  +0x30c VmTopDown        : Pos 21, 1 Bit
  +0x30c ImageNotifyDone  : Pos 22, 1 Bit
  +0x30c PdeUpdateNeeded  : Pos 23, 1 Bit
  +0x30c VdmAllowed       : Pos 24, 1 Bit
  +0x30c ProcessRundown   : Pos 25, 1 Bit
  +0x30c ProcessInserted  : Pos 26, 1 Bit
  +0x30c DefaultIoPriority : Pos 27, 3 Bits
  +0x30c ProcessSelfDelete : Pos 30, 1 Bit
  +0x30c SetTimerResolutionLink : Pos 31, 1 Bit
  +0x310 CreateTime       : _LARGE_INTEGER
  +0x318 ProcessQuotaUsage : [2] Uint8B
  +0x328 ProcessQuotaPeak : [2] Uint8B
  +0x338 PeakVirtualSize  : Uint8B
  +0x340 VirtualSize      : Uint8B
  +0x348 SessionProcessLinks : _LIST_ENTRY
  +0x358 ExceptionPortData : Ptr64 Void
  +0x358 ExceptionPortValue : Uint8B
  +0x358 ExceptionPortState : Pos 0, 3 Bits
  +0x360 Token            : _EX_FAST_REF
  +0x368 MmReserved       : Uint8B
  +0x370 AddressCreationLock : _EX_PUSH_LOCK
  +0x378 PageTableCommitmentLock : _EX_PUSH_LOCK
  +0x380 RotateInProgress : Ptr64 _ETHREAD
  +0x388 ForkInProgress   : Ptr64 _ETHREAD
  +0x390 CommitChargeJob  : Ptr64 _EJOB
  +0x398 CloneRoot        : _RTL_AVL_TREE
  +0x3a0 NumberOfPrivatePages : Uint8B
  +0x3a8 NumberOfLockedPages : Uint8B
  +0x3b0 Win32Process     : Ptr64 Void
  +0x3b8 Job              : Ptr64 _EJOB
  +0x3c0 SectionObject    : Ptr64 Void
  +0x3c8 SectionBaseAddress : Ptr64 Void
  +0x3d0 Cookie           : Uint4B
  +0x3d8 WorkingSetWatch  : Ptr64 _PAGEFAULT_HISTORY
  +0x3e0 Win32WindowStation : Ptr64 Void
  +0x3e8 InheritedFromUniqueProcessId : Ptr64 Void
  +0x3f0 OwnerProcessId   : Uint8B
  +0x3f8 Peb              : Ptr64 _PEB
  +0x400 Session          : Ptr64 _MM_SESSION_SPACE
  +0x408 Spare1           : Ptr64 Void
  +0x410 QuotaBlock       : Ptr64 _EPROCESS_QUOTA_BLOCK
  +0x418 ObjectTable      : Ptr64 _HANDLE_TABLE
  +0x420 DebugPort        : Ptr64 Void
  +0x428 WoW64Process     : Ptr64 _EWOW64PROCESS
  +0x430 DeviceMap        : Ptr64 Void
  +0x438 EtwDataSource    : Ptr64 Void
  +0x440 PageDirectoryPte : Uint8B
  +0x448 ImageFilePointer : Ptr64 _FILE_OBJECT
  +0x450 ImageFileName    : [15] UChar
  +0x45f PriorityClass    : UChar
  +0x460 SecurityPort     : Ptr64 Void
  +0x468 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
  +0x470 JobLinks         : _LIST_ENTRY
  +0x480 HighestUserAddress : Ptr64 Void
  +0x488 ThreadListHead   : _LIST_ENTRY
  +0x498 ActiveThreads    : Uint4B
  +0x49c ImagePathHash    : Uint4B
  +0x4a0 DefaultHardErrorProcessing : Uint4B
  +0x4a4 LastThreadExitStatus : Int4B
  +0x4a8 PrefetchTrace    : _EX_FAST_REF
  +0x4b0 LockedPagesList  : Ptr64 Void
  +0x4b8 ReadOperationCount : _LARGE_INTEGER
  +0x4c0 WriteOperationCount : _LARGE_INTEGER
  +0x4c8 OtherOperationCount : _LARGE_INTEGER
  +0x4d0 ReadTransferCount : _LARGE_INTEGER
  +0x4d8 WriteTransferCount : _LARGE_INTEGER
  +0x4e0 OtherTransferCount : _LARGE_INTEGER
  +0x4e8 CommitChargeLimit : Uint8B
  +0x4f0 CommitCharge     : Uint8B
  +0x4f8 CommitChargePeak : Uint8B
  +0x500 Vm               : _MMSUPPORT_FULL
  +0x640 MmProcessLinks   : _LIST_ENTRY
  +0x650 ModifiedPageCount : Uint4B
  +0x654 ExitStatus       : Int4B
  +0x658 VadRoot          : _RTL_AVL_TREE
  +0x660 VadHint          : Ptr64 Void
  +0x668 VadCount         : Uint8B
  +0x670 VadPhysicalPages : Uint8B
  +0x678 VadPhysicalPagesLimit : Uint8B
  +0x680 AlpcContext      : _ALPC_PROCESS_CONTEXT
  +0x6a0 TimerResolutionLink : _LIST_ENTRY
  +0x6b0 TimerResolutionStackRecord : Ptr64 _PO_DIAG_STACK_RECORD
  +0x6b8 RequestedTimerResolution : Uint4B
  +0x6bc SmallestTimerResolution : Uint4B
  +0x6c0 ExitTime         : _LARGE_INTEGER
  +0x6c8 InvertedFunctionTable : Ptr64 _INVERTED_FUNCTION_TABLE
  +0x6d0 InvertedFunctionTableLock : _EX_PUSH_LOCK
  +0x6d8 ActiveThreadsHighWatermark : Uint4B
  +0x6dc LargePrivateVadCount : Uint4B
  +0x6e0 ThreadListLock   : _EX_PUSH_LOCK
  +0x6e8 WnfContext       : Ptr64 Void
  +0x6f0 ServerSilo       : Ptr64 _EJOB
  +0x6f8 SignatureLevel   : UChar
  +0x6f9 SectionSignatureLevel : UChar
  +0x6fa Protection       : _PS_PROTECTION
  +0x6fb HangCount        : Pos 0, 3 Bits
  +0x6fb GhostCount       : Pos 3, 3 Bits
  +0x6fb PrefilterException : Pos 6, 1 Bit
  +0x6fc Flags3           : Uint4B
  +0x6fc Minimal          : Pos 0, 1 Bit
  +0x6fc ReplacingPageRoot : Pos 1, 1 Bit
  +0x6fc Crashed          : Pos 2, 1 Bit
  +0x6fc JobVadsAreTracked : Pos 3, 1 Bit
  +0x6fc VadTrackingDisabled : Pos 4, 1 Bit
  +0x6fc AuxiliaryProcess : Pos 5, 1 Bit
  +0x6fc SubsystemProcess : Pos 6, 1 Bit
  +0x6fc IndirectCpuSets  : Pos 7, 1 Bit
  +0x6fc RelinquishedCommit : Pos 8, 1 Bit
  +0x6fc HighGraphicsPriority : Pos 9, 1 Bit
  +0x6fc CommitFailLogged : Pos 10, 1 Bit
  +0x6fc ReserveFailLogged : Pos 11, 1 Bit
  +0x6fc SystemProcess    : Pos 12, 1 Bit
  +0x6fc HideImageBaseAddresses : Pos 13, 1 Bit
  +0x6fc AddressPolicyFrozen : Pos 14, 1 Bit
  +0x6fc ProcessFirstResume : Pos 15, 1 Bit
  +0x6fc ForegroundExternal : Pos 16, 1 Bit
  +0x6fc ForegroundSystem : Pos 17, 1 Bit
  +0x6fc HighMemoryPriority : Pos 18, 1 Bit
  +0x6fc EnableProcessSuspendResumeLogging : Pos 19, 1 Bit
  +0x6fc EnableThreadSuspendResumeLogging : Pos 20, 1 Bit
  +0x6fc SecurityDomainChanged : Pos 21, 1 Bit
  +0x6fc SecurityFreezeComplete : Pos 22, 1 Bit
  +0x6fc VmProcessorHost  : Pos 23, 1 Bit
  +0x700 DeviceAsid       : Int4B
  +0x708 SvmData          : Ptr64 Void
  +0x710 SvmProcessLock   : _EX_PUSH_LOCK
  +0x718 SvmLock          : Uint8B
  +0x720 SvmProcessDeviceListHead : _LIST_ENTRY
  +0x730 LastFreezeInterruptTime : Uint8B
  +0x738 DiskCounters     : Ptr64 _PROCESS_DISK_COUNTERS
  +0x740 PicoContext      : Ptr64 Void
  +0x748 EnclaveTable     : Ptr64 Void
  +0x750 EnclaveNumber    : Uint8B
  +0x758 EnclaveLock      : _EX_PUSH_LOCK
  +0x760 HighPriorityFaultsAllowed : Uint4B
  +0x768 EnergyContext    : Ptr64 _PO_PROCESS_ENERGY_CONTEXT
  +0x770 VmContext        : Ptr64 Void
  +0x778 SequenceNumber   : Uint8B
  +0x780 CreateInterruptTime : Uint8B
  +0x788 CreateUnbiasedInterruptTime : Uint8B
  +0x790 TotalUnbiasedFrozenTime : Uint8B
  +0x798 LastAppStateUpdateTime : Uint8B
  +0x7a0 LastAppStateUptime : Pos 0, 61 Bits
  +0x7a0 LastAppState     : Pos 61, 3 Bits
  +0x7a8 SharedCommitCharge : Uint8B
  +0x7b0 SharedCommitLock : _EX_PUSH_LOCK
  +0x7b8 SharedCommitLinks : _LIST_ENTRY
  +0x7c8 AllowedCpuSets   : Uint8B
  +0x7d0 DefaultCpuSets   : Uint8B
  +0x7c8 AllowedCpuSetsIndirect : Ptr64 Uint8B
  +0x7d0 DefaultCpuSetsIndirect : Ptr64 Uint8B
  +0x7d8 DiskIoAttribution : Ptr64 Void
  +0x7e0 DxgProcess       : Ptr64 Void
  +0x7e8 Win32KFilterSet  : Uint4B
  +0x7f0 ProcessTimerDelay : _PS_INTERLOCKED_TIMER_DELAY_VALUES
  +0x7f8 KTimerSets       : Uint4B
  +0x7fc KTimer2Sets      : Uint4B
  +0x800 ThreadTimerSets  : Uint4B
  +0x808 VirtualTimerListLock : Uint8B
  +0x810 VirtualTimerListHead : _LIST_ENTRY
  +0x820 WakeChannel      : _WNF_STATE_NAME
  +0x820 WakeInfo         : _PS_PROCESS_WAKE_INFORMATION
  +0x850 MitigationFlags  : Uint4B
  +0x850 MitigationFlagsValues : <anonymous-tag>
  +0x854 MitigationFlags2 : Uint4B
  +0x854 MitigationFlags2Values : <anonymous-tag>
  +0x858 PartitionObject  : Ptr64 Void
  +0x860 SecurityDomain   : Uint8B
  +0x868 ParentSecurityDomain : Uint8B
  +0x870 CoverageSamplerContext : Ptr64 Void
  +0x878 MmHotPatchContext : Ptr64 Void

很多而且很烦,但是我们要关注的是该结构的第一个成员PCB,这个成员的结构其实是一种KPROCESS类型的嵌入式结构,这里存储了与调度和时间记账有关的信息,我们可以使用与EPROCESS相同的方法(dt nt!_kprocess)查看内核进程结构的格式。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
+0x000 Header           : _DISPATCHER_HEADER
  +0x018 ProfileListHead  : _LIST_ENTRY
  +0x028 DirectoryTableBase : Uint8B
  +0x030 ThreadListHead   : _LIST_ENTRY
  +0x040 ProcessLock      : Uint4B
  +0x044 ProcessTimerDelay : Uint4B
  +0x048 DeepFreezeStartTime : Uint8B
  +0x050 Affinity         : _KAFFINITY_EX
  +0x0f8 ReadyListHead    : _LIST_ENTRY
  +0x108 SwapListEntry    : _SINGLE_LIST_ENTRY
  +0x110 ActiveProcessors : _KAFFINITY_EX
  +0x1b8 AutoAlignment    : Pos 0, 1 Bit
  +0x1b8 DisableBoost     : Pos 1, 1 Bit
  +0x1b8 DisableQuantum   : Pos 2, 1 Bit
  +0x1b8 DeepFreeze       : Pos 3, 1 Bit
  +0x1b8 TimerVirtualization : Pos 4, 1 Bit
  +0x1b8 CheckStackExtents : Pos 5, 1 Bit
  +0x1b8 CacheIsolationEnabled : Pos 6, 1 Bit
  +0x1b8 PpmPolicy        : Pos 7, 3 Bits
  +0x1b8 VaSpaceDeleted   : Pos 10, 1 Bit
  +0x1b8 ReservedFlags    : Pos 11, 21 Bits
  +0x1b8 ProcessFlags     : Int4B
  +0x1bc ActiveGroupsMask : Uint4B
  +0x1c0 BasePriority     : Char
  +0x1c1 QuantumReset     : Char
  +0x1c2 Visited          : Char
  +0x1c3 Flags            : _KEXECUTE_OPTIONS
  +0x1c4 ThreadSeed       : [20] Uint2B
  +0x1ec IdealProcessor   : [20] Uint2B
  +0x214 IdealNode        : [20] Uint2B
  +0x23c IdealGlobalNode  : Uint2B
  +0x23e Spare1           : Uint2B
  +0x240 StackCount       : _KSTACK_COUNT
  +0x248 ProcessListEntry : _LIST_ENTRY
  +0x258 CycleTime        : Uint8B
  +0x260 ContextSwitches  : Uint8B
  +0x268 SchedulingGroup  : Ptr64 _KSCHEDULING_GROUP
  +0x270 FreezeCount      : Uint4B
  +0x274 KernelTime       : Uint4B
  +0x278 UserTime         : Uint4B
  +0x27c ReadyTime        : Uint4B
  +0x280 UserDirectoryTableBase : Uint8B
  +0x288 AddressPolicy    : UChar
  +0x289 Spare2           : [71] UChar
  +0x2d0 InstrumentationCallback : Ptr64 Void
  +0x2d8 SecureState      : <anonymous-tag>

如果你想要详细查看一个结构体的一个字段,比如eprocess的UniqueprocessID字段,那么可以使用dt nt!_eprocess UniqueProcessID

image-20221106213332257

查看一个结构体的字段信息。

但是这样只能查看字段信息,如果要查看一个某个进程的实例,那么我们需要先找到实例,然后再去看

找寻实例可以使用!process 0 命令。列出所有进程。

image-20221106214612798

然后可以使用.process /p ffffc70f1c468040; !peb 00000000

类似命令查看详细信息。

CSR_PROCESS结构

对于每个执行了windows程序的进程,windows子系统进程(Csrss)维护了一种名为CSR_PROCESS的平行结构。Csrss进程是受保护的,因此无法将用户模式调试器连接到Csrss进程,必须使用类似于windbg的调试器。

1.列出Csrss进程

1
2
3
4
5
6
7
8
9
10
lkd> !process 0 0 csrss.exe
PROCESS ffffc70f219e1240
    SessionId: 0  Cid: 01e4    Peb: cd6f17a000  ParentCid: 01d8
    DirBase: 19d2d0002  ObjectTable: ffffb1876f7dce80  HandleCount: 628.
    Image: csrss.exe

PROCESS ffffc70f224394c0
    SessionId: 1  Cid: 0244    Peb: 726b4af000  ParentCid: 022c
    DirBase: 1a34a8002  ObjectTable: ffffb1876f842b40  HandleCount: 594.
    Image: csrss.exe

2.选择任何一个进程并更改调试器的上下文,指向所选进程,使用用户模式的模块可见。(/p开关可以将调试器的进程上下文更改为所提供的进程对象,/r开关可以请求加载用户模式符号。)

1
2
3
lkd> .process /r /P ffffc70f219e1240
Implicit process is now ffffc70f`219e1240
Loading User Symbols

3.查看CSR_PROCESS结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
lkd> dt csrss!_csr_process
   +0x000 ClientId         : _CLIENT_ID
   +0x010 ListLink         : _LIST_ENTRY
   +0x020 ThreadList       : _LIST_ENTRY
   +0x030 NtSession        : Ptr64 _CSR_NT_SESSION
   +0x038 ClientPort       : Ptr64 Void
   +0x040 ClientViewBase   : Ptr64 Char
   +0x048 ClientViewBounds : Ptr64 Char
   +0x050 ProcessHandle    : Ptr64 Void
   +0x058 SequenceNumber   : Uint4B
   +0x05c Flags            : Uint4B
   +0x060 DebugFlags       : Uint4B
   +0x064 ReferenceCount   : Int4B
   +0x068 ProcessGroupId   : Uint4B
   +0x06c ProcessGroupSequence : Uint4B
   +0x070 LastMessageSequence : Uint4B
   +0x074 NumOutstandingMessages : Uint4B
   +0x078 ShutdownLevel    : Uint4B
   +0x07c ShutdownFlags    : Uint4B
   +0x080 Luid             : _LUID
   +0x088 ServerDllPerProcessData : [1] Ptr64 Void

3.3 受保护进程

在Windows安全模型中,任何进程运行时所用的令牌只要包含调试权限(例如使用管理员账户运行)就可以向计算机上运行的任何其他进程请求所有访问权限。但是这种进程有可能会造成一些文件资源的泄密,比如高清蓝光电影等。因此,windows提供了受保护进程(比如Audiodg.exe)这个概念,此类进程能够与普通windows进程并存,但会对系统中其他进程(哪怕是使用管理员特权运行的进程)向此类进程请求访问权限的过程中带来很多限制。

3.6 CreateProcess的流程

创建一个windows进程,共涉及到操作系统的3个部分:Windows系统客户端库(Kernel32.dll),Windows执行体,以及Windows子系统进程(Csrss)。

下面是简略步骤:

  1. 验证参数,将windows子系统标志和选项转化为原生性质,解析,验证并转换属性列表为原生形式。
  2. 打开要在进程中执行的映像文件(.exe)
  3. 创建Windows执行体进程对象
  4. 创建初始线程
  5. 执行创建之后,与Windows子系统有关的进程初始化操作
  6. 开始执行初始线程
  7. 在新进程和线程的上下文中完成地址空间初始化操作(如加载所需的DLL),并开始执行程序的入口点。

第一步不做解释,从第二步开始解释:

打开要在进程中执行的映像文件:

Windows操作系统会在内核模式中,使用系统调用NtCreateUserProcess来完成自己工作。它的主要工作是找到运行调用方指定的可执行文件对应的Windows映像,并创建区域对象,随后将其映射到新进程的地址空间。

什么叫做找到对应的Windows映像?其实意思是系统会判断它是一个什么程序,如果是DOS.bat就会使用Cmd.exe,如果是win16,就是用NTvdm.exe,windows的话就直接运行exe。

如果指定的可执行文件是Windows Exe文件,NtCreateUserProcess函数会试图打开该文件并未其创建区域对象(内存对象),此时该内存对象并没有映射到内存中。

创建Windows执行体进程对象:

这一步主要是为了创建以EPROCESS为核心的相关数据结构,主要包括:

  1. 设置EPROCESS对象
  2. 创建初始进程地址空间
  3. 初始化内核进程结构(Kprocess)
  4. 结束进程地址空间的设置
  5. 设置PEB
  6. 完成执行体进程对象的摄制工作

创建初始线程:

现在,虽然进程对象已经建立起来,但是它没有线程,所以,它自己还不能做任何事情。接下来需要创建一个初始线程,在此之前,首先要构造一个栈以及一个可供运行的环境。初始线程的栈的大小可以通过映像文件获得,而创建线程则可以通过调用ntdll.dll 中的NtCreateThread 函数来完成。

这个阶段是通过调用NtCreateThread()完成的,主要包括:

  1. 创建和设置目标线程的ETHREAD数据结构,并处理好与EPROCESS的关系(例如进程块中的线程计数等等)。

  2. 在目标进程的用户空间创建并设置目标线程的TEB。

  3. 将目标线程在用户空间的起始地址设置成指向Kernel32.dll中的BaseProcessStart()BaseThreadStart(),前者用于进程中的第一个线程,后者用于随后的线程。用户程序在调用NtCreateThread()时也要提供一个用户级的起始函数(地址), BaseProcessStart()BaseThreadStart()在完成初始化时会调用这个起始函数。

通知windows子系统:

每个进程在创建/退出的时候都要向Windows子系统进程Csrss.exe进程发出通知,因为它负担着对window所有进程的管理的责任,注意,这里发出通知的是CreateProcess的调用者,不是新建出来的进程,因为它还没有开始运行。

开始执行线程:

至此,进程环境已经确定,线程运行所需的资源已分配,进程中包含了线程,Windows子系统也了解了新进程。除非调用方指定了CREATE_SUSPEND标志,否则初始线程已经恢复并且开始运行,可以在新进程的上下文中执行后续的进程初始化工作。

用户空间的初始化和Dll连接

新进程的生命始于内核模式线程启动例程KiStartUserThread。该例程会将线程的IRCQ级别从延迟过程调用(DPC)级别降低到APC级别。接着LdrInitializeThunk例程会被调用,这是映像加载器(Image loader)的初始化函数。

LdrInitializeThunk 函数完成加载器、堆管理器等初始化工作,然后加载任何必要的DLL,并且调用这些DLL 的入口函数。

最后,当LdrInitializeThunk 返回到用户模式APC 分发器时,该线程开始在用户模式下执行,调用应用程序指定的线程启动函数,此启动函数的地址已经在APC 交付时被压到用户栈中。

3.7进程的终止

进程有两种终止的函数,分别是ExitProcess,TerminateProcess

进程的终止可以用ExitProcess函数,从而”优雅的退出”,当进程的第一个线程从其主函数返回时,该线程的进程启动代码会代表该进程调用ExitProcess。什么是优雅的,这个词意味着载入该进程的DLL将有机会在接获进程即将退出的通知后,使用DLL_PROCESS_DETACH调用自己的DLLMain函数执行一些工作。

如果说ExitProcess是优雅的退出方法,那么TerminateProcess函数就是不优雅的方法。该函数可以从外部调用(比如我们的软件杀手,任务管理器)。TerminateProcess要求使用PROCESS_TERMINATE访问掩码打开一个到进程的句柄,该句柄可能别允许,也可能被拒绝。这也是某些进程(如Csrss)很难(甚至无法)终止的原因。发出请求的用户无法获得具备所需访问掩码的句柄。这种不优雅的退出方式,意味着DLL无法执行退出代码。

3.8映像加载程序

当一个进程在系统上启动时,内核将创建一个进程对象来代表它,并执行各种内核相关的初始化任务。然而,这些任务不会真正执行应用,而只是进行上下文和环境的准备工作。应用程序不像驱动(内核模式),它执行在用户模式下。因此,大部分初始化工作实际上都是在内核外完成的,且该工作是由Image Loader(Ldr)执行的。

Image Loader存在于用户模式下的系统DLL Ntdll.dll中,而不在内核库中。Ntdll.dll总是会被加载,因此,Loader段代码总是存在运行进程中,且作为新应用程序运行在用户模式下的第一部分代码(即Loader运行在实际中应用程序代码之前,且对用户和开发者是不可见的)。

它的主要作用如下:

  1. 为应用程序初始化用户模式状态,例如创建初始堆、设置线程本地存储(TLS)和纤程本地存储(FLS)槽。
  2. 解析应用程序的导入表地址(Import Address Table,IAT),查找所需的全部DLL,接着解析DLL的导出表,以确保函数确实存在。
  3. 在运行时或者需要时加载和卸载DLL,维护包含所有已加载模块的列表。
  4. 顾及hotpatching
  5. 处理清单文件
  6. 启用对API集和API重定向的支持
  7. 通过SwitchBack机制启用动态运行时兼容性缓解措施。

3.9作业

作业是一种可命名,可保护,可共享的内核对象,借此可以用”组”的方式控制一个或多个进程。作业对象的基本功能在于,可以将一组进程作为一个单元加以管理和操作。

作业在很多系统机制中扮演了重要角色:

  1. 管理现代化应用(UWP进程)
  2. 借助一种名为Serber Silo机制,可实现Windows对容器的支持
  3. 可用于实现自定义内存分区等

作业的限制:

  1. 活动进程的最大数量,限制了作业对象中可同时存在的进程数量。
  2. 作业范围内的用户模式CPU时间限制,限制了该作业中的进程。
  3. 作业的处理器相关性
  4. 作业组的相关性等

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br><br>平荒尽处是春山<br>Life is a fucking movie.