进程:正在运行的程序的实例
进程去分析应是动态分析
可分析进程相关信息:pchunter,火绒剑
火绒剑可按文件位置进行过滤
虚拟内存
安全机制
线程
IPC:进程间通信的机制
在windows中进程只是一个容器,用于装载系统资源,它并不执行代码,它是系统资源分配的最小单元,而在进程中执行代码的是线程,线程是轻量级的进程,是代码执行的最小单位
程序一般都是从0x400000开始的
每个进程都有他自己独一无二的内存,他们之前互不影响
ntdll.dll是我们在用户模式下可以到达的最低点,负责用户模式和内核模式之间的跳跃
ntoskrnl.exe
windows系统上都会显示以下系统进程
空闲进程(每个CPU包含一个线程以占用空闲CPU时间)
windows子系统(Csrss.exe)
会话初始化(Wininit.exe)
登录过程(WinLogon.exe)
会话管理器(Smss.exe)
本地会话管理器(Lms.exe)
本地安全身份验证服务器(Lsass.exe)
Protection Ring(保护环)
1.保护环或分层保护域是保扩数据和功能免受故障和恶意行为侵害的机制,特别是在网络安全领域
2.环按从最高特权(通常编号为0)到最低特权(通常编号为3)的层次结构排列,级别依次改变且不可越级
3.在大多数操作系统上, Ring O是目有最高权限的级别,与CPU和内存等物理硬件的交互最直接。
4.大多数现代操作系统对内核/执行程序使用级别0,对应用程序使用级别3。
5.没有必要使用所有四个权限级别,因为当前的操作系统如(Windows、Linu等)大多使用分页机制,而分页只有一个位来指定权限级别,即Supervisor或User(U/S位)。 Windows NT使用两级系统。8086中的实模式程序在级别0(最高特权级别)上执行,而8086中的虚拟模式在级别3上执行所有程序。
在x86保护模式可用的特权级别
对于函数调用的影响
1 | R3环: |
Process Tree(进程树)
进程树是一种进程关系表示方法。由父进程和子进程两部分组成
一些程序进程运行后,会调用其他进程,这样就组成了一个进程树
火绒剑可查看父子进程间的关系