[原创]白话windows之会话、工作站、桌面、窗口之间的关系-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]白话windows之会话、工作站、桌面、窗口之间的关系

2013-6-8 22:51 29095

[原创]白话windows之会话、工作站、桌面、窗口之间的关系

ddlx

2013-6-8 22:51

29095

查看主题内容

收藏・87

点赞・7

打赏

最新回复 (47) ◀ 1 2
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-6-12 07:27 26 楼 0 你说system是系统内核本身，我就越来越糊涂了。虽说是0号进程(空闲进程)，实际上存在Kprocess，不像是虚拟的。不同点:相对system权限来说，这个R3被拒绝访问，线程更多，无分页内存。相同点:有ntkrnlpa(windbg看到的是另一个)的线程，看起来更像是寄生的。
wogao 雪币： 3517 活跃值： (2102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 59 粉丝 1 关注私信	wogao 2013-6-12 08:26 27 楼 0 楼主整理的挺好的，辛苦啦
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 09:45 28 楼 0 0号进程管理0号线程的。每个Cpu都有一个0号线程，0号线程是空闲线程，当Cpu没有其他线程需要运行的时候，就会让0号线程运行。这也说明了为什么0号进程显示的Cpu占用率代表Cpu空闲率了。（0号进程是有EPROCESS的，只是没法通过Pid找到它）另外线程问题，内核线程都属于system进程的（除了0号线程）。为什么说system是系统本身呢？有一下几点证明： 1. system进程是没有实体的，并且从字面上和对该进程的描述(NT Kernel & System)上可以说明。 2. system没有用户态模式，system是一个系统内核进程。全系统只有两个:Idle和system。 3. 所有内核线程都归system管理分页内存和未分页内存是由内核中全局变量指定的，在system进程信息中体现不出来（上一个跟帖说的有错误啊，不好意思~）不知道能否解决你的疑惑
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 09:59 29 楼 0 用windbg看一下进程信息会有更好的理解效果 0号进程:!process poi(PsIdleProcess) f system进程：!process poi(PsInitialSystemProcess) f
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-6-12 10:58 30 楼 0 我的理解: 1 0,4号进程都是内核的宿主(system也能被R3进程申请分页内存)，哪个进程的非分页内存里的才是存放内核映像。 2. 我发现ntdll,ole等有仅存在于Idle的线程。 3. 另外我想知道userinit的父进程是？为什么不是system进程，这进程退出得太快很难查。无论如何在这里总算学到了不少。
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 11:41 31 楼 0 1. system要在R3申请分页内存需要一些特殊技巧吧（没试过，system是没有PEB的，就是申请了也没多大用）。system和idle进程中都不会有存放内核镜像。非分页内存由内核的全局变量维护，不存在system和0号进程的VadRoot 中。另外，内核镜像不是都存放在非分页内存中。nt模块的代码有一部分是存放在非分页内存的如.text段, 有一部分是存在分页内存里的如PAGE段，还有一部分是存放在分页内存并可抛弃如INIT段，这个由PE的段头属性决定。 2. 这个是不可能的吧，idle没有R3的内存布局，也没PEB，也不能被用户态访问，idle进程中更不能存在ntdll,ole模块。不知道你用什么工具看的，或者运行什么软件导致这样的情况，给介绍一下。 3. userinit进程是用户初始化进程，是在用户登录后，做初始化工作用的。所以他的父进程是winLogin.exe。
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-6-12 12:19 32 楼 0 好吧，我承认我才学疏浅，做个渔人比做个愚人要好 1. 我用NtAllocateVirtualMemory向system申请的内存,提下权就行了 2. 我用Kernel Detective查看的线程；若用XT才无语，system模块有ntdll.dll存在 3. 据我了解父进程为system，子进程也会一样。因此我对所用的PS API甚感兴趣。
jylaxp 雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 0 关注私信	jylaxp 2013-6-12 12:27 33 楼 0 Mark一下，手机不方便阅读
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 12:28 34 楼 0 只有相互探讨，才能融汇贯通。。理不辨不明~。有兴趣加入群么？151843490。探讨windows内核技术的~
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 13:01 35 楼 0 1. 你是对的 2. 用Kernel Detective看idle线程列表,里面显示的是所有的线程。所属idle的都是线程ID==0的线程。system存在ntdll.dll不奇怪，是为了让其他进程能够使用ntdll.dll预先映射到system进程中的。system本身是不使用该模块的。 3. userinit父进程是winlogin.exe，这个我是看《windows内核原理与实现》中说的。我没实际测试，交流是学习最快的方法，我不是在炫耀自己知道的多，自己知道的不一定是对的，这也是我来看雪的原因。希望能与大家相互交流，让自己知道存在哪些不足，并验证自己脑子里记得东西哪些是错的。如有冒犯请多包涵你说的很对”做个渔人比做个愚人要好“，我来看雪也是不想做个愚人
FIGHTING安雪币： 1126 活跃值： (3392) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 149 粉丝 111 关注私信	FIGHTING安 1 2013-6-12 13:10 36 楼 0 学习了楼主辛苦
rhffv 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	rhffv 2013-6-12 20:33 37 楼 0 mark 支持一下
EvilKnight 雪币： 334 活跃值： (602) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 619 粉丝 15 关注私信	EvilKnight 4 2013-6-13 00:21 38 楼 0 不错，支持一下!.
勇敢者雪币： 516 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 104 粉丝 0 关注私信	勇敢者 2013-6-13 10:00 39 楼 0 感谢楼主先收藏了
shuichon 雪币： 6192 活跃值： (2080) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 239 粉丝 1 关注私信	shuichon 2013-6-13 11:49 40 楼 0 我觉得写的很不错。
simplejy 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	simplejy 2013-6-14 08:14 41 楼 0 不错不错，学习了。
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-15 01:40 42 楼 0 对本帖进行了重新编辑，非常感谢与各位的探讨。发现本帖中确实存在错误。主要是从启动到登陆各个进程启动的顺序和时机不正确。现已对该问题进行了修正。详见本帖。
瀚海云烟雪币： 293 活跃值： (232) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 2018-7-25 15:51 43 楼 0 论坛迁移，丢了一些楼层吧~~ 内容值得回味
niuzuoquan 雪币： 310 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 527 粉丝 2 关注私信	niuzuoquan 2019-4-3 11:51 44 楼 0 mark
liangyu 雪币： 267 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	liangyu 2019-4-12 12:58 45 楼 0 此类帖子严重点赞
风吹雨碎雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	风吹雨碎 2023-3-14 14:15 46 楼 0 把windows操作系统主要的进程，启动顺序详细梳理给了大家，给力。
风吹雨碎雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	风吹雨碎 2023-3-14 16:38 47 楼 0 winlogin.exe，应该是 winlogon.exe吧
fengyunabc 雪币： 3428 活跃值： (3482) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 515 粉丝 25 关注私信	fengyunabc 1 2023-3-14 16:52 48 楼 0 感谢分享！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

ddlx

发帖

245

回帖

250

RANK

关注

私信

他的文章

[分享] 2022年1月17号！“伏魔”赏金｜ WebShell检测之「模拟污点引擎」首次公测，邀你来战！

[调查]穿牛仔裤系腰带么

[讨论]最近有偿破解的帖子有复苏迹象哈

[原创]现学现用之windbg的高级玩法外篇二：干掉QQProtect.sys

[原创]现学现用之windbg的高级玩法外篇一：获取某软件的聊天记录

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) ◀ 1 2
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-6-12 07:27 26 楼 0 你说system是系统内核本身，我就越来越糊涂了。虽说是0号进程(空闲进程)，实际上存在Kprocess，不像是虚拟的。不同点:相对system权限来说，这个R3被拒绝访问，线程更多，无分页内存。相同点:有ntkrnlpa(windbg看到的是另一个)的线程，看起来更像是寄生的。
wogao 雪币： 3517 活跃值： (2102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 59 粉丝 1 关注私信	wogao 2013-6-12 08:26 27 楼 0 楼主整理的挺好的，辛苦啦
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 09:45 28 楼 0 0号进程管理0号线程的。每个Cpu都有一个0号线程，0号线程是空闲线程，当Cpu没有其他线程需要运行的时候，就会让0号线程运行。这也说明了为什么0号进程显示的Cpu占用率代表Cpu空闲率了。（0号进程是有EPROCESS的，只是没法通过Pid找到它）另外线程问题，内核线程都属于system进程的（除了0号线程）。为什么说system是系统本身呢？有一下几点证明： 1. system进程是没有实体的，并且从字面上和对该进程的描述(NT Kernel & System)上可以说明。 2. system没有用户态模式，system是一个系统内核进程。全系统只有两个:Idle和system。 3. 所有内核线程都归system管理分页内存和未分页内存是由内核中全局变量指定的，在system进程信息中体现不出来（上一个跟帖说的有错误啊，不好意思~）不知道能否解决你的疑惑
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 09:59 29 楼 0 用windbg看一下进程信息会有更好的理解效果 0号进程:!process poi(PsIdleProcess) f system进程：!process poi(PsInitialSystemProcess) f
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-6-12 10:58 30 楼 0 我的理解: 1 0,4号进程都是内核的宿主(system也能被R3进程申请分页内存)，哪个进程的非分页内存里的才是存放内核映像。 2. 我发现ntdll,ole等有仅存在于Idle的线程。 3. 另外我想知道userinit的父进程是？为什么不是system进程，这进程退出得太快很难查。无论如何在这里总算学到了不少。
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 11:41 31 楼 0 1. system要在R3申请分页内存需要一些特殊技巧吧（没试过，system是没有PEB的，就是申请了也没多大用）。system和idle进程中都不会有存放内核镜像。非分页内存由内核的全局变量维护，不存在system和0号进程的VadRoot 中。另外，内核镜像不是都存放在非分页内存中。nt模块的代码有一部分是存放在非分页内存的如.text段, 有一部分是存在分页内存里的如PAGE段，还有一部分是存放在分页内存并可抛弃如INIT段，这个由PE的段头属性决定。 2. 这个是不可能的吧，idle没有R3的内存布局，也没PEB，也不能被用户态访问，idle进程中更不能存在ntdll,ole模块。不知道你用什么工具看的，或者运行什么软件导致这样的情况，给介绍一下。 3. userinit进程是用户初始化进程，是在用户登录后，做初始化工作用的。所以他的父进程是winLogin.exe。
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-6-12 12:19 32 楼 0 好吧，我承认我才学疏浅，做个渔人比做个愚人要好 1. 我用NtAllocateVirtualMemory向system申请的内存,提下权就行了 2. 我用Kernel Detective查看的线程；若用XT才无语，system模块有ntdll.dll存在 3. 据我了解父进程为system，子进程也会一样。因此我对所用的PS API甚感兴趣。
jylaxp 雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 0 关注私信	jylaxp 2013-6-12 12:27 33 楼 0 Mark一下，手机不方便阅读
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 12:28 34 楼 0 只有相互探讨，才能融汇贯通。。理不辨不明~。有兴趣加入群么？151843490。探讨windows内核技术的~
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-12 13:01 35 楼 0 1. 你是对的 2. 用Kernel Detective看idle线程列表,里面显示的是所有的线程。所属idle的都是线程ID==0的线程。system存在ntdll.dll不奇怪，是为了让其他进程能够使用ntdll.dll预先映射到system进程中的。system本身是不使用该模块的。 3. userinit父进程是winlogin.exe，这个我是看《windows内核原理与实现》中说的。我没实际测试，交流是学习最快的方法，我不是在炫耀自己知道的多，自己知道的不一定是对的，这也是我来看雪的原因。希望能与大家相互交流，让自己知道存在哪些不足，并验证自己脑子里记得东西哪些是错的。如有冒犯请多包涵你说的很对”做个渔人比做个愚人要好“，我来看雪也是不想做个愚人
FIGHTING安雪币： 1126 活跃值： (3392) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 149 粉丝 111 关注私信	FIGHTING安 1 2013-6-12 13:10 36 楼 0 学习了楼主辛苦
rhffv 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	rhffv 2013-6-12 20:33 37 楼 0 mark 支持一下
EvilKnight 雪币： 334 活跃值： (602) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 619 粉丝 15 关注私信	EvilKnight 4 2013-6-13 00:21 38 楼 0 不错，支持一下!.
勇敢者雪币： 516 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 104 粉丝 0 关注私信	勇敢者 2013-6-13 10:00 39 楼 0 感谢楼主先收藏了
shuichon 雪币： 6192 活跃值： (2080) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 239 粉丝 1 关注私信	shuichon 2013-6-13 11:49 40 楼 0 我觉得写的很不错。
simplejy 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	simplejy 2013-6-14 08:14 41 楼 0 不错不错，学习了。
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 42 关注私信	ddlx 5 2013-6-15 01:40 42 楼 0 对本帖进行了重新编辑，非常感谢与各位的探讨。发现本帖中确实存在错误。主要是从启动到登陆各个进程启动的顺序和时机不正确。现已对该问题进行了修正。详见本帖。
瀚海云烟雪币： 293 活跃值： (232) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 2018-7-25 15:51 43 楼 0 论坛迁移，丢了一些楼层吧~~ 内容值得回味
niuzuoquan 雪币： 310 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 527 粉丝 2 关注私信	niuzuoquan 2019-4-3 11:51 44 楼 0 mark
liangyu 雪币： 267 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	liangyu 2019-4-12 12:58 45 楼 0 此类帖子严重点赞
风吹雨碎雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	风吹雨碎 2023-3-14 14:15 46 楼 0 把windows操作系统主要的进程，启动顺序详细梳理给了大家，给力。
风吹雨碎雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	风吹雨碎 2023-3-14 16:38 47 楼 0 winlogin.exe，应该是 winlogon.exe吧
fengyunabc 雪币： 3428 活跃值： (3482) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 515 粉丝 25 关注私信	fengyunabc 1 2023-3-14 16:52 48 楼 0 感谢分享！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[原创]白话windows之 会话、工作站、桌面、窗口之间的关系

[原创]白话windows之会话、工作站、桌面、窗口之间的关系