https://www.cnblogs.com/russinovich/archive/2011/04/26/2029655.html
用户登陆到windows系统之后,不管该用户是本地登陆的,还是远程登陆,系统都会为这个用户分配一个新的会话ID(SID)。也就是说会话与用户的登录是相关连的,没有用户登录就不存在会话。因此,会话的含义是指用户登录之后的一种运行的环境。我们先看看书上是怎么说的!
会话管理器(\Windows\System32\Smss.exe)是系统中第一个创建的用户态模式进程,负责完成执行体和内核的初始化工作的内核模式系统线程在最后阶段创建了实际的Smss进程(这段摘自: 《深入解析Windows操作系统(第4版)》80页)。
[popexizhi: 之前一直见smss.exe 原来是用户态进程的控制者,查了一下进程列表中的smss.exe 的属性所有者是TrustedInstaller,这不是dll注入时遇到lpk.dll 删除时提示自己不是的那个权限吗?!
[go]了一下这个TrustedInstaller用户的说明 https://www.windowscentral.com/how-restore-trustedinstaller-owner-system-files-windows-10
大家都在抱怨找不到这个用户,下面是其全称
On the "Select User or Group" page, type the following to add the TrustedInstaller account and click Check Names:
NT Service\TrustedInstaller
]
Windows系统是支持多会话的,因此会话空间(session space)包含了一些针对每个会话的全局信息。所以会话空间是用来管理会话的。那么会话具体包含些什么呢?
会话(session)是由进程和其他的系统对象(比如窗口站、桌面和窗口)构成的,它们代表了一个用户的工作站登录会话。会话具体是由如下几个部分组成的:
1. 每个会话包含一个单独的win32k.sys
2. 专门的换页池区域
3. 私有windows子系统和登陆进程的拷贝
4. 系统空间中被映射的空间,被称为会话空间的区域
(参考: 《深入解析Windows操作系统(第4版)》 414页)
没有评论:
发表评论