详解CreateProcess调用内核创建进程的过程

昨天同学接到了腾讯的电面，有一题问到了CreateProcess创建进程的具体实现过程，他答得不怎么好吧应该是，

为了以防万一，也为了深入学习一下，今天我翻阅了好多资料，整理了一下，写篇博客，也算是加深理解吧

1.函数原型：

BOOL
WINAPI
CreateProcessW(
    LPCWSTR lpApplicationName,
    LPWSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCWSTR lpCurrentDirectory,
    LPSTARTUPINFOW lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation
    )

2.参数意义：

第一参数：lpApplicationName

指向一个NULL结尾的、用来指定可执行模块的字符串。

这个字符串可以是可执行模块的绝对路径，也可以是相对路径，在后一种情况下，函数使用当前驱动器和目录建立可执行模块的路径。

这个参数可以被设为NULL，在这种情况下，可执行模块的名字必须处于 lpCommandLine 参数最前面并由空格符与后面的字符分开。

 

 

第二参数：lpCommandLine

指向一个以NULL结尾的字符串，该字符串指定要执行的命令行。

这个参数可以为空，那么函数将使用lpApplicationName参数指定的字符串当做要运行的程序的命令行。

如果lpApplicationName和lpCommandLine参数都不为空，那么lpApplicationName参数指定将要被运行的模块，lpCommandLine参数指定将被运行的模块的命令行。新运行的进程可以使用GetCommandLine函数获得整个命令行。C语言程序可以使用argc和argv参数。

 

 

第三参数：lpProcessAttributes

指向一个SECURITY_ATTRIBUTES结构体，这个结构体决定是否返回的句柄可以被子进程继承。如果lpProcessAttributes参数为空（NULL），那么句柄不能被继承。

在Windows NT中：SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员指定了新进程的安全描述符，如果参数为空，新进程使用默认的安全描述符。

 

 

第四参数：lpThreadAttributes

同lpProcessAttribute,不过这个参数决定的是线程是否被继承.通常置为NULL.

 

 

第五参数：bInheritHandles

指示新进程是否从调用进程处继承了句柄。

如果参数的值为真，调用进程中的每一个可继承的打开句柄都将被子进程继承。被继承的句柄与原进程拥有完全相同的值和访问权限。

 

 

第六参数：dwCreationFlags

指定附加的、用来控制优先类和进程的创建的标志。以下的创建标志可以以除下面列出的方式外的任何方式组合后指定。

⑴值：CREATE_DEFAULT_ERROR_MODE

含义：新的进程不继承调用进程的错误模式。CreateProcess函数赋予新进程当前的默认错误模式作为替代。应用程序可以调用SetErrorMode函数设置当前的默认错误模式。

这个标志对于那些运行在没有硬件错误环境下的多线程外壳程序是十分有用的。

对于CreateProcess函数，默认的行为是为新进程继承调用者的错误模式。设置这个标志以改变默认的处理方式。

⑵值：CREATE_NEW_CONSOLE

含义：新的进程将使用一个新的控制台，而不是继承父进程的控制台。这个标志不能与DETACHED_PROCESS标志一起使用。

⑶值：CREATE_NEW_PROCESS_GROUP

含义：新进程将是一个进程树的根进程。进程树中的全部进程都是根进程的子进程。新进程树的用户标识符与这个进程的标识符是相同的，由lpProcessInformation参数返回。进程树经常使用GenerateConsoleCtrlEvent函数允许发送CTRL+C或CTRL+BREAK信号到一组控制台进程。

⑷值：CREATE_SEPARATE_WOW_VDM

如果被设置，新进程将会在一个私有的虚拟DOS机（VDM）中运行。另外，默认情况下所有的16位Windows应用程序都会在同一个共享的VDM中以线程的方式运行。单独运行一个16位程序的优点是一个应用程序的崩溃只会结束这一个VDM的运行；其他那些在不同VDM中运行的程序会继续正常的运行。同样的，在不同VDM中运行的16位Windows应用程序拥有不同的输入队列，这意味着如果一个程序暂时失去响应，在独立的VDM中的应用程序能够继续获得输入。

⑸值：CREATE_SHARED_WOW_VDM

如果WIN.INI中的Windows段的DefaultSeparateVDM选项被设置为真，这个标识使得CreateProcess函数越过这个选项并在共享的虚拟DOS机中运行新进程。

⑹值：CREATE_SUSPENDED

含义：新进程的主线程会以暂停的状态被创建，直到调用ResumeThread函数被调用时才运行。

⑺值：CREATE_UNICODE_ENVIRONMENT

含义：如果被设置，由lpEnvironment参数指定的环境块使用Unicode字符，如果为空，环境块使用ANSI字符。

⑻值：DEBUG_PROCESS

含义：如果这个标志被设置，调用进程将被当做一个调试程序，并且新进程会被当做被调试的进程。系统把被调试程序发生的所有调试事件通知给调试器。

如果你使用这个标志创建进程，只有调用进程（调用CreateProcess函数的进程）可以调用WaitForDebugEvent函数。

⑼值：DEBUG_ONLY_THIS_PROCESS

含义：如果此标志没有被设置且调用进程正在被调试，新进程将成为调试调用进程的调试器的另一个调试对象。如果调用进程没有被调试，有关调试的行为就不会产生。

⑽值：DETACHED_PROCESS

含义：对于控制台进程，新进程没有访问父进程控制台的权限。新进程可以通过AllocConsole函数自己创建一个新的控制台。这个标志不可以与CREATE_NEW_CONSOLE标志一起使用。

〔11〕值：CREATE_NO_WINDOW

含义：系统不为新进程创建CUI窗口，使用该标志可以创建不含窗口的CUI程序。

 

 

 

 

第七参数：lpEnvironment

指向一个新进程的环境块。如果此参数为空，新进程使用调用进程的环境。

一个环境块存在于一个由以NULL结尾的字符串组成的块中，这个块也是以NULL结尾的。每个字符串都是name=value的形式。

因为相等标志被当做分隔符，所以它不能被环境变量当做变量名。

与其使用应用程序提供的环境块，不如直接把这个参数设为空，系统驱动器上的当前目录信息不会被自动传递给新创建的进程。对于这个情况的探讨和如何处理，请参见注释一节。

环境块可以包含Unicode或ANSI字符。如果lpEnvironment指向的环境块包含Unicode字符，那么dwCreationFlags字段的CREATE_UNICODE_ENⅥRONMENT标志将被设置。如果块包含ANSI字符，该标志将被清空。

请注意一个ANSI环境块是由两个零字节结束的：一个是字符串的结尾，另一个用来结束这个快。一个Unicode环境块是由四个零字节结束的：两个代表字符串结束，另两个用来结束块。

 

 

第八参数：lpCurrentDirectory

指向一个以NULL结尾的字符串，这个字符串用来指定子进程的工作路径。这个字符串必须是一个包含驱动器名的绝对路径。如果这个参数为空，新进程将使用与调用进程相同的驱动器和目录。这个选项是一个需要启动应用程序并指定它们的驱动器和工作目录的外壳程序的主要条件。

 

 

第九参数：lpStartupInfo

指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体。

 

 

第十参数：lpProcessInformation

指向一个用来接收新进程的识别信息的PROCESS_INFORMATION结构体。 

 

下面是CreateProcess的一个简单实例，打开了一个notepad：

#include<stdio.h>
#include<windows.h>
int main(int argc,char*argv[])
{
    char szCommandLine[]="notepad";
    STARTUPINFO si={sizeof(si)};
    PROCESS_INFORMATION pi;
    si.dwFlags=STARTF_USESHOWWINDOW;//指定wShowWindow成员效
    si.wShowWindow=TRUE;//此成员设为TRUE的话则显示新建进程的主窗口
    BOOL bRet=CreateProcess(
        NULL,//不在此指定可执行文件的文件名
        szCommandLine,//命令行参数
        NULL,//默认进程安全性
        NULL,//默认进程安全性
        FALSE,//指定当前进程内句柄不可以被子进程继承
        CREATE_NEW_CONSOLE,//为新进程创建一个新的控制台窗口
        NULL,//使用本进程的环境变量
        NULL,//使用本进程的驱动器和目录
        &si,
        &pi);
    if(bRet)
    {
        //不使用的句柄最好关掉
        CloseHandle(pi.hThread);
        CloseHandle(pi.hProcess);
        printf("新进程的ID号：%d\n",pi.dwProcessId);
        printf("新进程的主线程ID号：%d\n",pi.dwThreadId);
    }

    getchar();
    return ;
}

 

 

3.CreateProcess通过内核创建进程的步骤，大致分为六个阶段：

 

在Windows中，进程是不活动的，只是作为线程的容器，现代操作系统将线程作为最小调度单位，进程作为资源分配的最小单位。

所以，CreateProcess作为一个相对高层的函数，要先通过系统调用NtCreateProcess()创建进程（容器），成功以后就立即通过系统调用NtCreateThread()创建其第一个线程。

 

第一阶段：打开目标映像文件

 

对于32位exe映像，CreateProcess先打开其映像文件，在为其创建一个Section即文件映射区，将文件内容映射进来，前提是目标文件是一个合格的EXE文件（PE文件头部检测）；

 

 

第二阶段：创建内核中的进程对象

 

实际上就是创建以EPROCESS为核心的相关数据结构，这就是系统调用NtCreateProcess()要做的事情，主要包括：

 

　　①分配并设置EPROCESS数据结构；

　　②其他相关的数据结构的设置，如句柄表等等；

　　③为目标进程创建初始的地址空间；

　　④对EPROCESS进行初始化；

　　⑤将系统Dll映射到目标用户空间，如ntdll.dll等

　　⑥设置目标进程的PEB；

　　⑦将其他需要映射到用户空间，如与”当地语言支持“即NLS有关的数据结构；

　　⑧完成EPROCESS创建，将其挂入进程队列并插入创建者的句柄表

 

 

第三阶段：创建初始线程

 

前面说过，进程只是一个容器，干活儿是里面的线程，所以下一步就是创建目标进程的初始线程

 

与EPROCESS对应，线程的数据结构是ETHREAD，与进程环境块PEB对应，线程也有线程环境块TEB；

PEB在用户空间的位置大致是固定的，在7ffd0000左右，PEB的下方就是TEB，进程有几个线程就有几个TEB，每个TEB占一个4KB的页面；

这个阶段是通过调用NtCreateThread()完成的，主要包括：

 

　　①创建和设置目标线程的ETHREAD数据结构，并处理好与EPROCESS的关系(例如进程块中的线程计数等等)。

　　②在目标进程的用户空间创建并设置目标线程的TEB。

　　③将目标线程在用户空间的起始地址设置成指向Kernel32.dll中的BaseProcessStart()或BaseThreadStart()，前者用于进程中的第一个线程，后者用于随后的线程。

　　   用户程序在调用NtCreateThread()时也要提供一个用户级的起始函数(地址)， BaseProcessStart()和BaseThreadStart()在完成初始化时会调用这个起始函数。

　　   ETHREAD数据结构中有两个成份，分别用来存放这两个地址。

　　④调用KeInitThread设置目标线程的KTHREAD数据结构并为其分配堆栈和建立执行环境。

　　   特别地，将其上下文中的断点(返回点)设置成指向内核中的一段程序KiThreadStartup，使得该线程一旦被调度运行时就从这里开始执行。

　　⑤系统中可能登记了一些每当创建线程时就应加以调用的“通知”函数，调用这些函数。

 

第四阶段：通知windows子系统

 

关于windows子系统  http://book.51cto.com/art/201011/235712.htm

 

每个进程在创建/退出的时候都要向windows子系统进程csrss.exe进程发出通知，因为它担负着对windows所有进程的管理的责任，

注意，这里发出通知的是CreateProcess的调用者，不是新建出来的进程，因为它还没有开始运行。

 

至此，CreateProcess的操作已经完成，但子进程中的线程却尚未开始运行，它的运行还要经历下面的第五和第六阶段。

 

 

第五阶段：启动初始线程

 

新创建的线程未必是可以被立即调度运行的，因为用户可能在创建时把标志位CREATE_ SUSPENDED设成了1；

如果那样的话，就需要等待别的进程通过系统调用恢复其运行资格以后才可以被调度运行。否则现在已经可以被调度运行了。至于什么时候才会被调度运行，则就要看优先级等等条件了。

 

 

第六阶段：用户空间的初始化和Dll连接

 

DLL连接由ntdll.dll中的LdrInitializeThunk()在用户空间完成。在此之前ntdll.dll与应用软件尚未连接，但是已经被映射到了用户空间（第二阶段第⑤步）

函数LdrInitializeThunk()在映像中的位置是系统初始化时就预先确定并记录在案的，所以在进入这个函数之前也不需要连接。