Windows核心原理研究——進程建立

標籤：

進程可能是使用者接觸的Windows系統中最多的部分了，對於Windows系統而言，進程是一個獨立的地址空間可以為線程提供一個獨立的執行環境，

也就是說

進程=

• 獨立的地址空間
• 一個進程核心對象

線程=

• 一個線程自己的棧
• 一個線程核心對象

當然這個棧是在進程的地址空間中。那麼，也就是說線程才是真正“幹活”的東西，進程只不過是一些資源的集合而已。只能說是“原材料”。

在我學習Windows核心以前一直覺得進程的種種特性很神奇，比如說地址空間獨立是怎麼實現的呢？我們的電腦使用的都是同一塊記憶體怎麼能實現獨立呢？

再比如說進程是怎麼進行管理和實現那些功能的？這些疑問隨著我的學習過程不減反增，尤其是當我接觸了使用者層的一些安全知識後，舉個例子：遊戲外掛，

外掛自身是一個進程，它要去讀遊戲進程的資料，那就是跨越進程了。可是這是怎麼實現的呢？

事實上一切問題的答案都可以在核心中找到答案，因為核心才是真正的一起東西的管理者。我們只要知道了核心是怎麼做的那麼一切問題都迎刃而解了。

事實上Windows進程管理器處於Windows核心執行體，進程管理器實際上並不存在這麼一個“東西”，所謂管理器是指一系列函數和程式的抽象集合。

我先提出幾個疑問，然後通過解答這幾個疑問來敘述Windows系統是怎麼操作進程的。

1. 凡事都有第一次，那麼Windows系統中第一個進程是怎麼建立的？或者說沒有進程的情況下，系統怎麼建立進程？事實上這涉及系統初始化的知識。
2. 進程是怎麼建立的？系統怎樣去管理進程？

注意的一點是，建立一個進程是一系列的工作而不是單單建立了進程這麼個東西。打個比方，我雙擊記事本程式，這個進程運行起來了。運行起來了包含著有線程建立了，有模組載入了等等。

提到建立進程，只要是接觸過Windows編程的人就會想到CreateProcess函數，熟悉驅動開發的人也會知道NtCreateProcess函數，這個函數正是進程建立的重要函數之一，注意是之一。原因上面已經說了，建立進程是一系列的過程而不只是建立一個進程結構而已。

 

Windows核心原理研究——進程建立