进程与线程

Small_Boy

进程

CPU，文件系统，内存都是由操作系统进行管控和分配和需要到的进程，而且一个
操作系统管控的系统资源可以被多个进程同时调用，而且不会互相干扰，维护里
系统的稳定即使是一个进程崩溃也不会对其他进程造成干扰。
所以即使是一个进程被恶意软件利用，也不会影响到和该进程共同资源的其它进程

例如：系统给每个进程在内存范围内一段空间，供其使用，但是表面上看到的每个
载入地址是0x00400000开始，其实这只是系统分配给进程的一个虚拟内存地址，并
不是物理地址，真正的物理地址是还要结合进程号进行寻址


恶意代码对进程的利用

恶意代码最常用的就是自行创建一个进程：
1.自行创建一个进程比较容易实现，步骤简洁，只需生产自己的恶意程序即可
2.自行创建一个进程，可以方便灵活的调用自己的目标恶意代码，也可以有效的
绕过系统自身的防火墙和其它安全机制

例如：恶意代码使用GreateProcess创建一个远程shell

恶意代码利用CreateProcess中的STARTUPINFO结构参数里面包含的一个标准输入输
出及错误流的句柄的特点，将这些值设置为一个套接字，如果恶意程序（木马）
写入标准输出时，也就将输出的数据流写到套接字上，也就形成了远程shell，这样
也就除CreateProcess无需额外调用其它函数，简洁方便。
想要知道套接字里面要执行的远程指令，就要找到套接字里存放远程指令的输入
流函数

线程：线程是进程的子流，进程是由一个或者多个线程组成，是操作系统真正要执
行的内容。一个进程中的多个子线程共享内存分配给该进程的空间，但是他们都有
自己的处理器，寄存器以及栈