1.一个线程调用CreateProcess时,系统将创建一个进程内核对象,其初始使用计数为1。然后系统为新进程的主线程创建一个线程内核对象(使其计数为1)。
2.CreateProcess在进程完全初始化好之前就返回TRUE。这意味着操作系统加载程序尚未尝试定位所有必要的DLL。如果一个DLL找不到或者不能正确的初始化,进程就会终止。因为返回TRUE,所有父进程不会注意到任何初始化问题。
3.CreateProcess的pszCommandLine参数期望我们传入的是一个非“常量字符串”的地址。在内部,CreateProcess实际上会修改我们传给它的命令行字符串,但在CreateProcess返回之前,它会将这个字符串还原为原来的形式。
4.CreateProcess如果参数的可执行文件没有扩展名,就会默认是.exe,还会按照一下顺序搜索可执行文件:
- 主调进程.exe文件所在的目录
- 主调进程的当前目录
- Windows系统目录
- Windows目录
- PATH环境变量中列出的目录
5.在创建一个新进程时,系统会为进程内核对象和线程内核对象初始使用计数为1.然后就在CreateProcess返回之前,它会使用完全访问权限来打开进程对象和线程对象,这时每个对象的使用计数就变为2。这意味着想要释放进程对象,进程线程必须终止,而且父进程必须关闭对象的句柄。
6.创建一个进程或线程内核对象时,此对象会被分配独一无二的、系统级别的ID编号。而且进程和线程分享同一个号码池,不可能有相同的ID。此外一个对象分配到的ID绝对不会是0。
7.Windowsr任务管理器将进程ID 0与“System Idle Process”(系统空闲进程)关联,但是实际上并没有这样的东西,其目的是将其作为Idle线程的占位符,在没有别的线程正在运行时,系统就运行这个Idle进程。System Idle Process中的线程数量始终等于计算机的CPU数量。
8.进程和线程ID会被系统立即重用,在保存使用时可能进程已经变成另外一个进程。
9.只有在一个子进程生成的那一瞬间,才存在父子关系,到子进程开始执行代码之前的那一刻,Windows就已经不认为存在任何父子关系了。系统确实会记住每个进程的父进程ID,但是由于ID会被立即重新启用,所以不准确。