【系统篇】从C/C++语言到进程启动背后的故事

我们需要运行一个程序或者软件，双击之即可完成。不过从你双击到程序的窗口产生的这“短暂”的时间内，Windows为你做了很多的工作。

首先，系统有一个进程监测到了你的双击操作，这个进程就是系统shell，没错，就是资源管理器explorer.exe，不是IE浏览器了，那是另一个进程IExplorer.exe。你可以尝试打开任务管理器将这个进程结束掉，然后桌面的一切元素都没有了，任务栏，图标什么的都消失了。只剩下墙纸一张，此时，右键菜单也不复存在···因为平时负责这些东西的explorer.exe已经被你干掉。要恢复的话，在任务管理器中新建任务，运行explorer.exe即可。

系统shell感知你双击的操作后，取得你双击对象的完整路径，然后最终会调用一个叫做CreateProcessA/CreateProcessW的函数来创建一个新的进程。这个函数是ring3上的API函数，在内核中，即ring0里，与之对应的是NtCreateProcess函数来完成创建进程的任务(此为Windows 2000的做法，XP和Win7后稍有差别)。阅读WRK的源码可以知道，NtCreateProcess对参数做一个简单的验证随即转而调用NtCreateProcessEx。再看NtCreateProcessEx的源码，可以发现，真正完成进程创建的是PspCreateProcessa函数。所以说，你所双击而运行的所有进程都是资源管理器的子进程。

懂点进程知识的应该知道，创建进程的几个关键是建立新的运行环境，即建立4GB虚拟地址空间给进程使用，然后创建进程内核对象，以及内核管理进程的数据结构，这包括内核层的KPROCESS和执行体层的EPROCESS。然后是主线程的创建以及相关内核数据结构，同样是内核层的KTHREAD和执行体层的KTHREAD。主线程创建完成后将两个内核对象的句柄即进程ID和主线程ID封装在PROCESS_INFORMATION结构体中，然后CreateProcess函数返回。创建进程过程完成。这一部分主要是内核来完成，大概过程如此，细节过程这里不展开了。

主线程创建后，就得到了时间片，开始参与系统的线程调度。那么程序从哪里开始执行呢。PE文件中有一个OEP的术语描述的便是这个概念，OEP便是指的程序入口点。所谓入口点便是顾名思义就是主线程最开始执行的地方，许多病毒加壳技术其中一点就是对这个OEP进行处理。现在，我们来使用PEID来看一个程序（VC8.0编译）的OEP如图：

0x00011078乃是RVA（相对虚拟地址），要看在进程地址空间中的起始地址，还得加上PE文件的映射基址，默认为0x00400000，不过，可以通过编译器选项进行调整。不知道也没关系，将程序放入OllyDbg，在内存映射中可以看到程序的映射基址：

由图看到映射基址是0x00400000。那么由前面所述，程序执行的第一条指令应该位于0x00400000  +  0x00011078  =  0x00411078。没错，就是这样。切换到OllyDbg的主窗口，我们发现了，程序确实初始停在了这里，并且这里是一条jmp指令。

我们到Jmp的目的地0x00411800去看看那里是什么东东？

这是什么东西？先卖个关子，总之，这里是程序进来之后真正做的第一件事。

换个思路，我们打开VS2008写一个简单的程序，程序做什么并不重要，我们要看它的启动原理。

注意看调用堆栈窗口，因为我是使用UNICODE编码环境，故_tmain()就是wmain()，如果是ANSI编码就是最开始学程序时的main()函数了。以前写程序就想过一个问题，我们写的所有函数都会被我们自己直接或间接调用，但有一个函数例外，那就是main()函数。我们写了它但从不会去调用它，事实上也不可能去调用它，它是我们写来供操作系统调用的。这个说法很笼统，操作系统调用是什么意思？今天就来弄清这个疑问。从调用堆栈看到，我们的wmain函数是被_tmainCRTStartup函数调用的，这是个什么东西？再往前推是wmainCRTStartup调用的_tmainCRTStartup。这两个函数是做什么的，他们之间有什么关系？双击调用堆栈里的项即可转到对应的源代码，我们可以发现，这两个函数是在crtexe.c文件中实现的。阅读源码可以发现，有四个启动函数分别是：

mainCRTStartup()         ANSI  +  控制台程序

wmainCRTStartup()        UNICODE  +  控制台程序

WinMainCRTStartup()      ANSI  +  GUI程序

wWinMainCRTStartup()     UNICODE  +  GUI程序

这一点在《windows核心编程》中也有提到。不过我们可以更进一步一窥它们的实现代码：

就这么简单，先调用了__security_init_cookie()，然后是我们前面看到的_tmainCRTStartup()。

第一个函数是做什么的呢？这个是微软在VS2003后引入的防止缓冲区溢出攻击的技术。简单的说就是在调用函数的时候在栈里安装一个随机的cookie值，这一cookie值在内存的一个地方有备份，函数调用完成后需要检测这个cookie和备份的一不一致，以此来判断有没有栈溢出发生。那么，这个函数就是来初始化这个备份区域的数据的。

然后第二个函数调用_initterm()进行全局变量、对象初始化。之后，我们可以看到才是真正调用了我们的main()/wmain()/WinMain()/wWinMain()的地方。饶了一大圈，回答了开始的疑问了。

这两个函数是链接器在生产可执行文件的时候给我们链接进来的。

至此，我们来看看第一个函数wmainCRTStartup的汇编代码。如图：

请注意和我们前面使用OllyDbg调试时的图对比：

发现没有？一样的！我们之前留的那个问题的答案想必已经出来了，程序一进来从OEP处执行了jmp指令，这条指令转向了wmainCRTStartup开始了程序真正的起点！

小结：编译生成的exe文件，双击运行后，建立新进程的地址空间，然后主线程开始运行，程序一进来通过jmp指令来到前面列出的四个启动函数，它们进行__security_init_cookie操作后便调用最终的启动器_tmainCRTStartup。这个启动器干了几件大事，分别是，使用GetStartupInfo获取进程启动信息，然后使用_inititem初始化全局变量和对象，最后调用我们main、wmain、WinMain、wWinMain进入我们的程序。。。

说明：这里谈到的是使用VC编译器生成的exe文件形态，如果采用其他编译器，甚至直接采用汇编程序情况就不同了。甚至于.net平台的托管程序运行于CLR上，则又是另外一回事了。