1. 软市首页
  2. 行业观察

windows程序员进阶系列:《软件调试》之五windows操作系统概要

行业观察

          

          windows程序员进阶系列:《软件调试》之Windows操作系统概要

 

 

     操作系统是计算机系统中的基本软件。它负责管理系统中的软硬件资源。通常都包括文件管理、内存管理、进程管理、打印管理、 络管理等基本功能。除此之外,支持调试也是操作系统设计的一项根本任务。

 

     从被调试对象的角度来看,可以把操作系统的调试支持分为以下三个方面:

 

     一:对应用程序的调试。即如何简单高效的调试运行在系统中的应用程序。

     二:对设备驱动程序的调试。

     三:对操作系统自身调试的支持。

 

 

 

     Windows是个典型的多任务操作系统,它允许有多个进程在系统中同时运行。

     进程是资源分配和保护的基本单位。每个进程都有自己的虚拟地址空间。这保证了每个进程相互隔离互不干扰。

 

 

     除了地址空间之外每个进程还包括:

       

     一:一个全局唯一的进程ID 

     二一个可执行映像(可执行文件)。

     三:一个或多个线程。

 

     四:一个位于内核空间中的名为_EPROCESS数据结构。用以记录该进程的关键信息,包括进程创建时间、映像文件名称等。

 

     五:一个位于内核空间的句柄表。用以记录和索引该进程所创建的或打开的内核对象。句柄只是句柄表的索引,操作系统根据句柄表来得到指向内核对象的指针。

 

   六:一个用于描述内存页目录表起始位置的基地址。简称页目录基地址。当cpu切换任务时会将该地址加载到CR3寄存器中。

 

   七:一个位于用户空间中的环境块(Process Environment block)PEB

 

   八:一个访问权限令牌。用以表示该进程的用户 、安全组以及优先级别。

 

 

为了更好的理解以上列出的每个项目。我们可以结合Windbg使用dt命令来观察_EPROCESS的每个字段。

 

windbg中可以输入命令:dt _EPROCESS。该命令会显示_EPROCESS结构的各个字段。如果你通过其他方法,如!process 0 0 可得到了某个进程的_ERPCESS结构的地址,你可以为上面的命令加上_EPROCESS结构地址。如输入dt _EPROCESS  EPROCESS结构地址。该命令会在显示_EPROCESS结构的同时,显示该地址处各个字段的取值。

 

 

以下为_EPROCESS结构:

 



    

  1. 
typedef  struct _EPROCESS {
    2. 

  2.     KPROCESS Pcb;
    3. 

  3.     NTSTATUS ExitStatus;
    4. 

  4.     KEVENT LockEvent;
    5. 

  5.     ULONG LockCount;
    6. 

  6.     LARGE_INTEGER CreateTime;
    7. 

  7.     LARGE_INTEGER ExitTime;
    8. 

  8.     PKTHREAD LockOwner;
    9. 

  9.     HANDLE UniqueProcessId;
    10. 

  10.     LIST_ENTRY ActiveProcessLinks;
    11. 

  11.     SIZE_T QuotaPeakPoolUsage[2];
    12. 

  12.     SIZE_T QuotaPoolUsage[2];
    13. 

  13.     SIZE_T PagefileUsage;
    14. 

  14.     SIZE_T CommitCharge;
    15. 

  15.     SIZE_T PeakPagefileUsage;
    16. 

  16.     SIZE_T PeakVirtualSize;
    17. 

  17.     SIZE_T VirtualSize;
    18. 

  18.     MMSUPPORT Vm;
    19. 

  19.     LIST_ENTRY SessionProcessLinks;
    20. 

  20.     PVOID DebugPort;
    21. 

  21.     PVOID ExceptionPort;
    22. 

  22.     PHANDLE_TABLE ObjectTable;
    23. 

  23.     PACCESS_TOKEN Token;        
    24. 

  24.  
    25. 

  25.     FAST_MUTEX WorkingSetLock;
    26. 

  26.     PFN_NUMBER WorkingSetPage;
    27. 

  27.     BOOLEAN ProcessOutswapEnabled;
    28. 

  28.     BOOLEAN ProcessOutswapped;
    29. 

  29.     UCHAR AddressSpaceInitialized;
    30. 

  30.     BOOLEAN AddressSpaceDeleted;
    31. 

  31.     FAST_MUTEX AddressCreationLock;
    32. 

  32.     KSPIN_LOCK HyperSpaceLock;
    33. 

  33.     struct _ETHREAD *ForkInProgress;
    34. 

  34.     USHORT VmOperation;
    35. 

  35.     UCHAR ForkWasSuccessful;
    36. 

  36.     UCHAR MmAgressiveWsTrimMask;
    37. 

  37.     PKEVENT VmOperationEvent;
    38. 

  38.     PVOID PaeTop;
    39. 

  39.     ULONG LastFaultCount;
    40. 

  40.     ULONG ModifiedPageCount;
    41. 

  41.     PVOID VadRoot;
    42. 

  42.     PVOID VadHint;
    43. 

  43.     PVOID CloneRoot;
    44. 

  44.     PFN_NUMBER NumberOfPrivatePages;
    45. 

  45.     PFN_NUMBER NumberOfLockedPages;
    46. 

  46.     USHORT NextPageColor;
    47. 

  47.     BOOLEAN ExitProcessCalled;
    48. 

  48.     BOOLEAN CreateProcessReported;
    49. 

  49.     HANDLE SectionHandle;
    50. 

  50.     PPEB Peb;
    51. 

  51.     PVOID SectionBaseAddress;
    52. 

  52.     PEPROCESS_QUOTA_BLOCK QuotaBlock;
    53. 

  53.     NTSTATUS LastThreadExitStatus;
    54. 

  54.     PPAGEFAULT_HISTORY WorkingSetWatch;
    55. 

  55.     HANDLE Win32WindowStation;
    56. 

  56.     HANDLE InheritedFromUniqueProcessId;
    57. 

  57.     ACCESS_MASK GrantedAccess;
    58. 

  58.     ULONG DefaultHardErrorProcessing;
    59. 

  59.     PVOID LdtInformation;
    60. 

  60.     PVOID VadFreeHint;
    61. 

  61.     PVOID VdmObjects;
    62. 

  62.     PVOID DeviceMap;
    63. 

  63.     ULONG SessionId;
    64. 

  64.     LIST_ENTRY PhysicalVadList;
    65. 

  65.     union {
    66. 

  66.         HARDWARE_PTE PageDirectoryPte;
    67. 

  67.         ULONGLONG Filler;
    68. 

  68.     };
    69. 

  69.     ULONG PaePageDirectoryPage;
    70. 

  70.     UCHAR ImageFileName[ 16 ];
    71. 

  71.     ULONG VmTrimFaultValue;
    72. 

  72.     BOOLEAN SetTimerResolution;
    73. 

  73.     UCHAR PriorityClass;
    74. 

  74.     union {
    75. 

  75.         struct {
    76. 

  76.             UCHAR SubSystemMinorVersion;
    77. 

  77.             UCHAR SubSystemMajorVersion;
    78. 

  78.         };
    79. 

  79.         USHORT SubSystemVersion;
    80. 

  80.     };
    81. 

  81.     PVOID Win32Process;
    82. 

  82.     struct _EJOB *Job;
    83. 

  83.     ULONG JobStatus;
    84. 

  84.     LIST_ENTRY JobLinks;
    85. 

  85.     PVOID LockedPagesList;
    86. 

  86.     PVOID SecurityPort ;              
    87. 

  87.     PWOW64_PROCESS Wow64Process;
    88. 

  88.     LARGE_INTEGER ReadOperationCount;
    89. 

  89.     LARGE_INTEGER WriteOperationCount;
    90. 

  90.     LARGE_INTEGER OtherOperationCount;
    91. 

  91.     LARGE_INTEGER ReadTransferCount;
    92. 

  92.     LARGE_INTEGER WriteTransferCount;
    93. 

  93.     LARGE_INTEGER

                                                        
    声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!
                            
    94.
上一篇 2013年2月11日
下一篇 2013年2月11日

相关推荐

首页
软件超市
企服市场
会员中心