Win32进程的创建过程

什么是进程

运行在计算机上的程序，为当前的程序提供资源，举一个例子，进程相当于一个房子，房子里的东西由进程提供，房子里走动的人就是线程，进程仅仅提供资源，关于资源怎么用与进程无关。

进程内存空间的地址划分

虽然每个进程都有属于自己的4GB虚拟空间，但是只有前面的低2G是属于进程自己的，后面的高2G是所有进程公用的，在OD里我们附加一个进程，然后Alt+m就可以看一下它的内存分配情况了。

每一个进程就像一辆汽车，由许多个零件组成，这里的零件就是模块，我们可以按Alt+e查看这些组成进程的模块：

进程的创建

当一个exe文件躺在我们的硬盘里的时候，它还不是一个进程，这里强调两点：

1、每个进程都不是自己创建的，是由别的进程创建的。CreateProcess()

2、进程的创建过程
	2.1映射EXE文件
	2.2创建内核对象eprocess
	2.3映射系统dll（ntdll.dll）
	2.4创建线程内核对象ethread
	2.5系统启动线程
		2.5.1映射DLL（ntdll.dll）
		2.5.2线程开始执行

每一个进程其实是由这个explorer.exe这个进程调用CreateProcess()函数来创建的：

那么这个CreateProcess()函数是如何把一个exe变成进程的呢？这就是上面的第二条：

2、进程的创建过程
	2.1  映射EXE文件
	2.2  创建内核对象eprocess
	2.3  映射系统dll（ntdll.dll）
	2.4  创建线程内核对象ethread
	2.5  系统启动线程
		2.5.1  映射DLL（ntdll.dll）
		2.5.2  线程开始执行

我们用图来表示的的创建过程，

这里还没有跑完，还差最后一步，启动线程，在启动线程之前，还需要映射dll，一个PE文件一般是由一个exe程序加许多个dll组成的：

这是笔者这里一个软件需要的dll

每个dll启动时也会带起别的dll，有一定的关联性，这就是为什么我们在OD里会看到那么多的dll，其实很多不是程序自带需的dll，而是需要的那个dll带起来的另一个dll，到这里程序才跑起来：