进程(process)就是一些处于运行状态的程序(programs)。
进程资源:
1、虚拟地址空间
2、一个全局唯一的进程ID (PID)
3、一个可执行映像(image),也就是该进程的程序文件在内存中的表示
4、一个或多个线程
5、一个位于内核空间中的名为EPROCESS(executive process block,进程执行块)的数据结构,用以记录该进程的关键信息,包括进程的创建时间、映像文件名称等。
6、一个位于内核空间中的对象句柄表,用以记录和索引该进程所创建/打开的内核对象。操作系统根据该表格将用户模式下的句柄翻译为指向内核对象的指针。
7、一个位于描述内存目录表起始位置的基地址,简称页目录基地址(DirBase),当CPU切换到该进程/任务时,会将该地址加载到CR3寄存器,这样当前进程的虚拟地址才会被翻译为正确的物理地址。
8、一个位于用户空间中的进程环境块(Process Environment Block, PEB)。
9、一个访问权限令牌(access token),用于表示该进程的用户、安全组,以及优先级别。
用WinDBG来查观察下这些资源
我们来看下记事本进程的信息
lkd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 855bca68 SessionId: 0 Cid: 0274 Peb: 7ffdf000 ParentCid: 09a8
DirBase: 3ebd7580 ObjectTable: e32a4410 HandleCount: 58.
Image: notepad.exe