[Windows内核源码分析2] 引导过程(进程线程管理器初始化在Phase0部分的分析)

最新推荐文章于 2025-03-07 16:06:47 发布
最新推荐文章于 2025-03-07 16:06:47 发布
阅读量543 收藏 3
点赞数
分类专栏: Windows内核 文章标签: wrk windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/127193793
版权
本文详细解析了Windows系统中进程线程管理器的初始化过程,重点关注PsInitSystem函数及其内部的PspInitPhase0流程。文章介绍了进程和线程对象的创建、CID句柄表的建立与移除、工作队列的初始化等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文章记录分析进程线程管理器在windows系统引导的阶段0中的初始化工作。主要是PsInitSystem函数。
进入后首先判定是引导过程的哪个阶段:
在这里插入图片描述
下面来看一下PspInitPhase0的整个流程, 刚开始都是一些初始化工作, 这些工作中需要提一嘴的是对进程线程以及模块加载卸载监控的回调的初始化,熟悉反游戏外挂的人肯定对这几个接口非常熟悉。
在这里插入图片描述
核心是从这里开始, 创建了进程对象:
在这里插入图片描述
接下来创建了线程以及作业对象:
在这里插入图片描述
调用ExCreateHandleTable来创造一个进程句柄表, 即CID句柄表。由于这个函数会使得该表位于之前创建的全局内核句柄表链表上, 而这个CID表示属于进程拥有的。
所以调用ExRemoveHandleTable把该表从全局内核句柄表链表上摘除
在这里插入图片描述
接下去初始化了一个工作队列中PsReaperWorkItem类型的回调函数PspReaper, 该函数主要用于当线程结束时释放各类资源:

  1. 释放线程的内核栈
  2. 释放进程的CreateDelete锁
  3. 解引用进程
  4. 解引用自身
    在这里插入图片描述
    当前进程名设置为Idle进程,并通过调用PspCreateProcess创建了第一个进程, system进程。关于PspCreateProcess的分析留到之后,我们这里把关注点放在在引导过程中进线程管理器的初始化。现在只需要知道到这里系统中真正的第一个进程已经跑起来了就是system进程
    在这里插入图片描述
    这里调用了PsCreateSystemThread在当前的Idle进程中创建了一个线程,该线程就是阶段1的初始化函数Phase1Initialization
    在这里插入图片描述
    稍稍进去看看就会发现里面实际上调用了Phase1InitializationDiscard函数, 且传入参数Context就是之前填充的LOADER_PARAMETER_BLOCK结构体
    在这里插入图片描述
    (完)
windows kernel源码分析】对初学者友好的底层理解,让你对计算机内核不再迷茫
20岁爱吃必胜客
10-11 1370
对市面上的文章再做一次整合。给渴望得到内核知识的人提供一些帮助。🍃博主昵称:一拳必胜客‘’
linux内核源码分析 - nvme设备的初始化
m0_74282605的博客
12-01 1793
nvme_dev_start和nvme_dev_add是负责不同的初始化,简单点说,nvme_dev_start是将硬件和驱动的联系进行初始化,当nvme_dev_start执行完成后,此nvme设备实际已经能够通过驱动正常使用了,但实际操作系统还是无法使用此设备,原因是需要nvme_dev_add函数将此设备注册到操作系统中,实际就是注册对应的gendisk和request queue,这样在/dev/和操作系统中都能过对此nvme设备进行操作.
Windows内核源码分析 1.初始化内核与执行体子系统
weixin_30335353的博客
03-22 272
本文结构:一、内核初始化1.1系统启动过程简介1.2内核初始化二、源码分析2.1内核初始化KiInitializeKernel2.2初始化内核数据结构KiInitSystem2.3[phase0]Ntoskrnl初始化ExpInitializeExecutive2.4[phase0]初始化进程管理器PsInitPhase02.5[phase1]Ntoskrnl初始化Phase...
进程的创建过程——PspCreateProcess逆向
weixin_45678798的博客
07-30 772
创建一个进程是通过NtCreateProcess开始执行的,它通过简单的对参数处理把任务交付给NtCreateProcessEx,然后NtCreateProcessEx检查ProcessHandle句柄是否可写,把真正的创建任务交给PspCreateProcess,所以PspCreateProcess才是真正的创建进程的函数。...
winlogon源代码分析之原子表的创建xxxCreateWindowStation函数中会调用CreateGlobalAtomTable函数创建工作站原子表
最新发布
linux-0.11调试教程
03-07 441
winlogon源代码分析之原子表的创建xxxCreateWindowStation函数中会调用CreateGlobalAtomTable函数创建工作站原子表
Windows 10源码一览
01-29 1056
Axel 介绍,Windows 10Windows 8.x、7、Vista、XP、2000 和 NT 的代码库是相同的,其中每一代都在之前的基础上进行重大的重构,并增加大量新功能,改进性能和硬件支持,此外还有安全性的提升,同时保持非常高的后向兼容性。其中也包含一些 C++ 代码,而越靠近用户模式、越接近新的源码时,C 的使用变得越来越少,反之 C++ 变多。作者估计完全查看这些源码的文件名,并试图理解源码具体是用来干什么的,需要花上一生的时间。作者惊呼:Windows 源码的规模巨大,这是一个真正。
Window源码 解读(一)
BoyiKia的博客
12-16 945
Window 源码解读 Window 是一个窗口概念。它是所有view 的载体。在Widow 机制中,会接触到这几个类如下面类图。 我们按照这个思路,梳理一下源码 Window Abstract base class for a top-level window look and behavior policy. An instance of this class should be us...
内核篇】Windows内核重要变量
weixin_30888707的博客
12-15 351
====================================================== LIST_ENTRYPsLoadedModuleList; [定 义] wrk\wrk-v1.2\base\ntos\mm\Sysload.c [初始化] wrk\wrk-v1.2\base\ntos\mm\Sysload.c [MiInitializeLoadedM...
Windows源码分析()初始化内核与执行体子系统.doc
07-07
Windows 源码分析】(一)初始化内核与执行体子系统 在深入探讨Windows内核初始化之前,我们先来回顾一下系统的启动过程。系统启动通常包括五个主要步骤: 1. **预引导过程**:系统进行POST(加电自检),配置...
Windows源码分析】(一)初始化内核与执行体子系统
01-08 6280
 作 者: 北极星2003 时 间: 2008-03-22,23:59 链 接: http://bbs.pediy.com/showthread.php?t=61749 对于那么没有相关经验的朋友,在阅读本文时最好对照windows源码来看,否则光看着这么多数据结构就足以头大。对于这篇文章,严格来说,应该是属于学习笔记型,如有分析不当的地方,请各位多指教!    本文的主要目标是根
鸿蒙轻内核M核源码分析系列十八 Fault异常处理
maniuT的博客
06-07 682
本文先简单介绍下Fault异常类型,向量表及其代码,异常处理C语言程序,然后详细分析下异常处理汇编函数实现代码。文中所涉及的源码,以内核为例,均可以在开源站点 https://gitee.com/openharmony/kernel_liteos_m 获取。
Windows内核源码详尽分析
05-28
本文结合《Windows内核情景分析》(毛德操著)、《软件调试》(张银奎著)、《Windows核心编程》、《寒江独钓-Windows内核安全编程》、《Windows PE权威指南》、《C++反汇编与逆向分析揭秘》以及ReactOS操作系统 (V0.3.12)源码,以《Windows内核情景分析》为蓝本,对Windows内核重要框架、函数、结构体进行解析 由于工程庞大,我能理解到的只是冰山一角,但本文力求做到让每个读者都能从整体上理解Windows内核的架构,并大量解释一些关键细节。
Window底层源码分析(二)
coding_p的博客
05-27 619
前言 Window底层源码分析(一)中我们只是对Activity从一个组件怎么就管理一个界面的基本的流程去初步了解了一下,其实我们只是知道了一个Window 都是由什么东西组成的,activity是怎么管理的,在什么时候创建的等,那么这篇文章我们就接着上一篇文章继续讨论客户端Window是怎么和服务端WindowManagerService怎么通信的,他们之间的到底是怎么一回事? Window...
PspCidTable概述
yaneng的专栏
06-18 1394
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)3.PspCidTable是一个独立的句柄表,而每
Windows NT引导过程源代码分析(二)
hnzwx888的专栏
06-20 1319
转载自:https://blog.csdn.net/cosmoslife/article/details/7855425 1.2内核初始化 内核初始化主要是内核各个组件的初始化,但由于这些内核组件之间有紧密的耦合关系,所以它们的初始化并不是简单地顺序执行初始化。为了解决在初始化过程中的相互依赖性问题,内核初始化分两个阶段进行,称为阶段0和阶段1。大多数内核组件的初始化函数相应地带有...
遍历PspCidTable表检测隐藏进程
08-11 439
一、PspCidTable概述 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的,但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HE...
[Windows内核源码分析4] 引导过程(Phase1部分分析)
輚至消亡
10-10 943
后查看当前处理器的线程链表中是否有需要运行的线程,如果没有就让当前处理器运行Idle线程。接着就返回准备执行阶段1的初始化工作线程。后首先调用HalAllProcessorsStarted通过HAL硬件抽象层所有处理器已经初始化完,接着就对对象管理器, 执行体管理器, 调试器管理器, 安全管理器的阶段1的初始化以及调用。下面来继续分析,首先来看看现在的调用栈, 当我们从Phase0初始化返回时的调用栈如下。由于阶段1的初始化内容比较多,这里仅做对整体的流程分析,其中的细节之后会写文章继续分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值