進程環境塊PEB)是 Windows NT操作系統內部使用的數據結構,用以存儲每個進程運行時數據。[1] Microsoft的MSDN文檔中僅公開了PEB的少數幾個域,該結構「在未來的Windows版本中可能會修改」。[2]PEB包含的數據結構適用於整個進程,如全局上下文,啟動參數,程序image裝載器的數據結構,程序image的基地址,進程級互斥同步訪問對象等。[1]

PEB與kernel mode EPROCESS數據結構密切相關。也是逐進程數據結構,在客戶-服務器運行時子系統(CSRSS)進程地址空間被管理。但是,類似於CSRSS數據結構,PEB自身並不是內核模式數據結構。它駐留在所關聯的進程的用戶態內存空間中。這是因為它被設計為被操作系統的用戶態的程序所使用,如NTDLL,在內核態之外執行,如程序映象的加載器與堆管理器。[3]

WinDbg中,卸載PEB內容的命令是!peb,命令參數是PEB在進程地址空間的地址,它實際上是通過!process命令獲取,將顯示來自於EPROCESS數據結構的信息,其中一個域是PEB地址。[3]

More information 域, 含義 ...
Microsoft文檔公布的PEB的域[2]
含義 注釋
BeingDebugged 進程是否被調試 Microsoft建議不要使用這個域,而是用Win32 CheckRemoteDebuggerPresent()庫函數代替[2]
Ldr PEB_LDR_DATA結構的指針,提供被加載模塊的信息。 包含kernel32ntdll的基地址
ProcessParameters RTL_USER_PROCESS_PARAMETERS結構的指針,提供進程起始參數信息。 這個RTL_USER_PROCESS_PARAMETERS結構幾乎不透明,不保證在不同Windows版本一致[4]
PostProcessInitRoutine 為一個回調函數指針,在DLL被初始化後但DLLMain執行之前被調用 executable code is invoked 該回調函數被用於Windows 2000, 不保證以後Windows版本一致[2]
SessionId 進程所在的Terminal Services任務的ID 系統調用NtCreateUserProcess()通過調用內核內部的MmGetSession Id()函數來初始化它.[3]
Close

PEB的內容通過系統調用NtCreateUserProcess()初始化。該系統調用也是Native API的Win32函數 CreateProcess(), CreateProcessAsUser(), CreateProcessWithTokenW(), CreateProcessWithLogonW() (在kernel32.dll 與advapi32.dll中)的實現基礎,也是Windows NT POSIX的posix.dll中的API函數Fork()的實現基礎.[3]

對於Windows NT POSIX進程,新進程的PEB內容通過簡單直接複製父進程的PEB來初始化。NtCreateUserProcess() 這是在fork()函數內部實現。對於Win32進程,新進程的PEB的初始化主要來自內核維護的全局變量。但幾個域的初始化來自程序映象,特別是來自PE文件格式(PE+ 或 PE32+在64位)的IMAGE_OPTIONAL_HEADER32數據結構。[3]

More information 域, 初始化自... ...
內核全局變量初始化的PEB的域[3]
初始化自... 是否被PE信息覆蓋?
NumberOfProcessors KeNumberOfProcessors
NtGlobalFlag NtGlobalFlag
CriticalSectionTimeout MmCriticalSectionTimeout
HeapSegmentReserve MmHeapSegmentReserve
HeapSegmentCommit MmHeapSegmentCommit
HeapDeCommitTotalFreeThreshold MmHeapDeCommitTotalFreeThreshold
HeapDeCommitFreeBlockThreshold MmHeapDeCommitFreeBlockThreshold
MinimumStackCommit MmMinimumStackCommitInBytes
ImageProcessAffinityMask KeActiveProcessors ImageLoadConfigDirectory.ProcessAffinityMask
OSMajorVersion NtMajorVersion OptionalHeader.Win32VersionValue & 0xFF
OSMinorVersion NtMinorVersion (OptionalHeader.Win32VersionValue >> 8) & 0xFF
OSBuildNumber NtBuildNumber & 0x3FFF combined with CmNtCSDVersion (OptionalHeader.Win32VersionValue >> 16) & 0x3FFF combined with ImageLoadConfigDirectory.CmNtCSDVersion
OSPlatformId VER_PLATFORM_WIN32_NT (OptionalHeader.Win32VersionValue >> 30) ^ 0x2
Close

參考文獻

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.