CreateProcess 内部实现

最新推荐文章于 2025-09-15 06:00:49 发布
原创 最新推荐文章于 2025-09-15 06:00:49 发布 · 2.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

本文是ReactOS学习笔记的一部分,详细探讨了CreateProcess的内部实现过程,包括测试Alart的NtTestAlert函数,APC执行后的PspUserThreadStartup函数,以及如何通过线程入口地址启动线程执行。

*ReactOS学习笔记*

CreateProcess 内部实现



调用CreateProcessW
   调用CreateProcessInternalW
      参数检查
      获取进程文件路径
      调用 BasepMapFile映射文件(内部调用NtCreateSection)
      判断是否是一个DLL文件
      判断子系统类型(只能是GUI和CUI中的一种)
      是GUI时,则去掉CREATE_NEW_CONSOLE标志,增加DETACHED_PROCESS
      如果dwCreationFlags参数中包含DEBUG_PROCESS|DEBUG_ONLY_THIS_PROCESS,则调用DbgUiConnectToDbg创建调试对象(debugPort)
      调用NtCreateProcess开始创建进程
         调用NtCreateProcessEx
             调用PspCreateProcess
                关联相关句柄的内核对象(SectionHandle,DebugPort,ExceptionPort)
                创建进程空间( MmCreateProcessAddressSpace)
                初始化进程内核对象(KeInitializeProcess)
                复制父进程的Token(PspInitializeProcessSecurity)
                初始化进程句
最低0.47元/天 解锁文章
Windows创建进程winAPI-CreateProcess
super_bert的专栏
05-19 3150
BOOL WINAPI CreateProcess( _In_opt_ LPCTSTR lpApplicationName, _Inout_opt_ LPTSTR lpCommandLine, _In_opt_ LPSECURITY_ATTRIBUTES lpProcessAttributes, _In_opt_
X64 inline hook CreateProcessInternalW
11-24
X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
Windows 系统编程——进程篇之进程创建
最新发布
charlie114514191的博客
09-15 1239
本文详细解析了Windows系统API CreateProcess的使用方法及注意事项。从函数签名入手,重点讲解了lpApplicationName和lpCommandLine参数的差异与使用建议、命令行引号处理规则、dwCreationFlags常用标志、STARTUPINFO和STARTUPINFOEX结构体的配置方法。文章还深入探讨了进程创建中的句柄继承机制、环境块格式、权限与Token管理等关键问题,并提供了使用CreateProcessWithLogonW和CreateProcessAsUser创
全局 Hook CreateProcessInternalW 测试 VB版.rar
07-09
纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
小试X64 inline HOOK,hook explorer.exe--->CreateProcessInternalW监视进程创建
热门推荐
zwfgdlc的专栏
11-24 1万+
原始函数是这样的 kernel32!CreateProcessInternalW: 00000000`7738e750 4c8bdc mov r11,rsp 00000000`7738e753 53 push rbx 00000000`7738e754 56 push rsi 00000000`7738e7
Windows内核--CreateProcess的内核实现 (2.2)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
11-04 884
不管是桌面双击应用程序(ShellExecute*)还是代码中调用创建进程API, 最终一般都会调用NT Native API CreateProcess, 具体请参阅WRK1.2 create.c, 这里不再赘述,下面会继续讨论API参数和Kernel内部比较特别的地方。
易语言实现Hook_CreateProcess阻止进程创建原理与应用
易语言的“Hook”技术是其系统编程中的一个重要概念,它允许程序员在Windows操作系统内部拦截和修改系统函数调用,实现特定的功能,例如监控、控制程序行为等。Hook_CreateProcess则是指通过挂钩(hooking)操作系统...
易语言实现CreateProcess系统回调功能源码解析
这种机制允许系统内部的事件触发用户定义的操作,为系统安全、监控、日志记录等提供了技术手段。 4. 枚举系统回调: 枚举系统回调涉及到遍历系统中注册的所有回调函数,了解它们的作用和触发条件。这有助于开发者...
调试器内部原理与实现
# 调试器内部机制与实现 ## 1. 调试基础回顾 在之前的调试会话中,我们可以逐行执行高级语句并打印特定变量的值,这比通过解析寄存器和转储内存来推断程序状态信息要方便得多。 ## 2. 自定义调试基础设施:DOS ...
CreateProcess
weixin_30493401的博客
09-08 497
Windows 进程创建完整过程(除去细节) 当前流程是分析WinXP x86得到的,在最新版本Windows上不一定正确,但是可以做一个参考, 由于我这里符号并不全,所以导致我这里有些东西看到的可能是错误的,误导了我,然后我就做了个错误的记录, 有缘人如果看到的话,可以帮我指正一下,我会很高兴。 工作挺忙的,三天的业余时间,哎,个人水平问题吧,还是没有办法详细地分析出完整套路,算是个简要...
Detours版HOOK 未导出的API函数CreateProcessInternalW
追逐光芒,追随内心
11-22 1957
#include <stdio.h> //#include <tchar.h> #include <windows.h> #include "detours.h" #pragma comment(lib,"detours.lib") //以下是HOOK需要的头文件 //#include <winsock2.h> //#include <MSWSock.h> //#pragma comment(lib,"ws2_32.lib") //.
挂接CreateProcessW实现对进程创建的完全控制
08-05 1482
SystEm32:这份文档演示了如何实现全局HOOK>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++【前言】【概述】【copy-on-write】【三种可行的办法】【完整演示代码】【资源】++++++++++++++++++++++++++++++++++++++
CreateProcess进程创建的内核跟踪分析
zjw1989
09-12 1096
<br />*[标题]:CreateProcess进程创建的内核跟踪分析<br />*[作者]:gz1X [gz1x(at)tom(dot)com]<br />*[来自]:中国黑客联盟 [CHU]<br /><br />    <br />*[正文]:<br /><br /><br />[实现流程]<br />——————————————————————<br />1.打开需要执行的文件(.exe);<br />2.创建执行体进程对象; //<-------重点<br />3.创建初始线程; /
CreateProcess流程分析
weixin_30762087的博客
04-24 488
CreateProcesssA 函数工作流程分析: 用IDA打开CreateProcessA跟进,调用流程:call kernel32!CreateProcesssAcall kernel32!CreateProcessInternalAcall kernel32!CreateProcessInternalW kernel32!CreateProcessInternal函数 流程图太...
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
11-19 2022
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
注意CreateProcessW函数
ITLionWoo的专栏
04-11 6468
看下面这个代码有什么问题:  #define PROCESS_NAME _T(“C://Windows/NotePad.ext”)      if (!CreateProcessW(NULL, PROCESS_NAME, NULL, NULL, FALSE, 0, NULL, NULL, &startupInfo, &processInformation))  这里的问
Win7/Vista Hook CreateProcess 的特别之处
myjisgreat的专栏
06-13 4701
Win7/Vista Hook CreateProcess 的特别之处 搬运自我的百度空间,写本文时主流系统为Win7,本文的方法没有在高版本的windows尝试 Hook了CreateProcess后发现,每当非管理员进程创建管理员进程,这个Hook被绕过了。   Win7中如果要截取创建新进程,单单Hook 本进程kernel32中的
NtCreateUserProcess 参数
ayang1986的专栏
09-08 2263
转载自:https://github.com/cuckoosandbox/monitor/blob/master/sigs/process_native.rst Signature: * Calling convention: WINAPI * Category: process * Library: ntdll * Return value: NTSTATUS NtCreatePr...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值