code2012

摘要： 4.3.1 四种情况创建新进程并调用MmInitializeProcessAddressSpace， 调用完这个函数的时候，一个进程的地址空间基本建立了，可执行文件的映像和ntdll.dll（内存区对象）已经被映射到恰当的虚拟地址范围内。 介绍到 在新进程的地址空间中，会克隆系统空间的页目录到新进程的页目录. KeAttachProcess() 与 KeDetachProcess（） KeAttachProcess（）函数的执行的时候，会把当前线程附载在新的的进程对象上，关键是把CR3切换为新进程的页目录KeDetachProcess 把线程恢复到父进程！4.3.2 每个进程都有自己独立的.. 阅读全文