首先先劃定一下這個(gè)問題的討論范圍：C/C++語言

這篇文章主要討論的是操作系統(tǒng)層面上對(duì)于進(jìn)程、線程的創(chuàng)建初始化等行為，而像Python、Java等基于解釋器、虛擬機(jī)的語言，如何進(jìn)入到main函數(shù)執(zhí)行，這背后的路徑則更長（包含了解釋器和虛擬機(jī)內(nèi)部的執(zhí)行流程），以后有機(jī)會(huì)再討論。所以這里就重點(diǎn)關(guān)注C/C++這類native語言的main函數(shù)是如何進(jìn)入的。

本文會(huì)兼顧敘述Linux和Windows兩個(gè)主要平臺(tái)上的詳細(xì)流程。

創(chuàng)建進(jìn)程

第一步，創(chuàng)建進(jìn)程。

在Linux上，我們要啟動(dòng)一個(gè)新的進(jìn)程，一般通過fork+exec系列函數(shù)來實(shí)現(xiàn)，前者將當(dāng)前進(jìn)程“分叉”出一個(gè)孿生子進(jìn)程，后者負(fù)責(zé)替換這個(gè)子進(jìn)程的執(zhí)行文件，來執(zhí)行子進(jìn)程的新程序文件。

這里的fork、exec系列函數(shù)，是操作系統(tǒng)提供給應(yīng)用程序的API函數(shù)，在其內(nèi)部最終都會(huì)通過系統(tǒng)調(diào)用，進(jìn)入操作系統(tǒng)內(nèi)核，通過內(nèi)核中的進(jìn)程管理機(jī)制，來完成一個(gè)進(jìn)程的創(chuàng)建。

操作系統(tǒng)內(nèi)核將負(fù)責(zé)進(jìn)程的創(chuàng)建，主要有下面幾個(gè)工作要做：

創(chuàng)建內(nèi)核中用于描述進(jìn)程的數(shù)據(jù)結(jié)構(gòu)，在Linux上是task_struct

創(chuàng)建新進(jìn)程的頁目錄、頁表，用于構(gòu)建新進(jìn)程的內(nèi)存地址空間

在Linux內(nèi)核中，由于歷史原因，Linux內(nèi)核早期并沒有線程的概念，而是用任務(wù)：task_struct來描述一個(gè)程序的執(zhí)行實(shí)例：進(jìn)程。

在內(nèi)核中，一個(gè)任務(wù)對(duì)應(yīng)就是一個(gè)task_struct，也就是一個(gè)進(jìn)程，內(nèi)核的調(diào)度單元也是一個(gè)個(gè)的個(gè)task_struct。

后來，多線程的概念興起，Linux內(nèi)核為了支持多線程技術(shù)，task_struct實(shí)際上表示的變成了一個(gè)線程，通過將多個(gè)task_struct合并為一組（通過該結(jié)構(gòu)內(nèi)部的組id字段）再來描述一個(gè)進(jìn)程。因此，Linux上的線程，也稱為輕量級(jí)進(jìn)程。

系統(tǒng)調(diào)用fork的一個(gè)重要使命就是要去創(chuàng)建新進(jìn)程的task_struct結(jié)構(gòu)，創(chuàng)建完成后，進(jìn)程就擁有了調(diào)度單元。隨后將開始可以參與調(diào)度并有機(jī)會(huì)獲得執(zhí)行。

加載可執(zhí)行文件

通過fork成功創(chuàng)建進(jìn)程后，此時(shí)的子進(jìn)程和父進(jìn)程相當(dāng)于一個(gè)細(xì)胞進(jìn)行了有絲分裂，兩個(gè)進(jìn)程“幾乎”是一模一樣的。

而要想子進(jìn)程執(zhí)行新的程序，在子進(jìn)程中還需要用到exec系列函數(shù)來實(shí)現(xiàn)對(duì)進(jìn)程可執(zhí)行程序的替換。

exec系列函數(shù)同樣是系統(tǒng)調(diào)用的封裝，通過調(diào)用它們，將進(jìn)入內(nèi)核sys_execve來執(zhí)行真正的工作。

這個(gè)工作細(xì)節(jié)比較多，其中有一個(gè)重要的工作就是加載可執(zhí)行文件到進(jìn)程空間并對(duì)其進(jìn)行分析，提取出可執(zhí)行文件的入口地址。

我們使用C、C++等高級(jí)語言編寫的代碼，最終通過編譯器會(huì)編譯生成可執(zhí)行文件，在Linux上，是ELF格式，在Windows上，稱之為PE文件。

無論是ELF文件還是PE文件，在各自的文件頭中，都記錄了這個(gè)可執(zhí)行文件的指令入口地址，它指示了程序該從哪里開始執(zhí)行。

這個(gè)入口指向哪里，是我們的main函數(shù)嗎？這里賣一個(gè)關(guān)子，先來解決在這之前的一個(gè)問題：進(jìn)程創(chuàng)建后，是如何來到這個(gè)入口地址的？

不管在Windows還是Linux上，應(yīng)用線程都會(huì)經(jīng)常在用戶空間和內(nèi)核空間來回穿梭，這可能出現(xiàn)在以下幾種情況發(fā)生時(shí)：

系統(tǒng)調(diào)用

中斷

異常

從內(nèi)核返回時(shí)，線程是如何知道自己從哪里進(jìn)來的，該回到應(yīng)用空間的哪里去繼續(xù)執(zhí)行呢？

答案是，在進(jìn)入內(nèi)核空間時(shí)，線程將自動(dòng)保存上下文（其實(shí)就是一些寄存器的內(nèi)容，比如指令寄存器EIP）到線程的堆棧上，記錄自己從哪里來的，等到從內(nèi)核返回時(shí)，再從堆棧上加載這些信息，回到原來的地方繼續(xù)執(zhí)行。

前面提到，子進(jìn)程是通過sys_execve系統(tǒng)調(diào)用進(jìn)入到內(nèi)核中的，在后面完成可執(zhí)行文件的分析后，拿到了ELF文件的入口地址，將會(huì)去修改原來保存在堆棧上的上下文信息，將EIP指向ELF文件的入口地址。這樣等sys_execve系統(tǒng)調(diào)用結(jié)束時(shí)，返回到用戶空間后，就能夠直接轉(zhuǎn)到新的程序入口開始執(zhí)行代碼。

所以，一個(gè)非常重要的特點(diǎn)是：exec系列函數(shù)正常情況下是不會(huì)返回的，一旦進(jìn)入，完成使命后，執(zhí)行流程就會(huì)轉(zhuǎn)向新的可執(zhí)行文件入口。

另外需要提一下的是，在Linux上，除了ELF文件，還支持一些其他格式的可執(zhí)行文件，如MS-DOS、COFF

除了二進(jìn)制的可執(zhí)行文件，還支持shell腳本，這個(gè)情況下將會(huì)將腳本解釋器程序作為入口來啟動(dòng)

從ELF入口到main函數(shù)

上面交代了，一個(gè)新的進(jìn)程，是如何執(zhí)行到可執(zhí)行文件的入口地址的。

同時(shí)也留了一個(gè)問題，這個(gè)入口地址是什么？是我們的main函數(shù)嗎？

這里有一個(gè)簡單的C程序，運(yùn)行起來后輸出經(jīng)典的hello world：

#include intmain(){ printf("hello,world! "); return0; }

通過gcc編譯后，生成了一個(gè)ELF可執(zhí)行文件，通過readelf指令，可以實(shí)現(xiàn)對(duì)ELF文件的分析，這里可以看到ELF文件的入口地址是0x400430：

隨后，我們通過反匯編神器，IDA打開分析這個(gè)文件，看一下位于0x400430入口的地方是什么函數(shù)？

可以看到，入口地方是一個(gè)叫做_start的函數(shù)，并不是我們的main函數(shù)。

在_start的結(jié)尾，調(diào)用了__libc_start_main函數(shù)，而這個(gè)函數(shù)，位于libc.so中。

你可能疑惑，這個(gè)函數(shù)是哪里冒出來的，我們的代碼中并沒有用到它呢？

其實(shí)，在進(jìn)入main函數(shù)之前，還有一個(gè)重要的工作要做，這就是：C/C++運(yùn)行時(shí)庫的初始化。上面的__libc_start_main就是在完成這一工作。

在通過GCC進(jìn)行編譯時(shí)，編譯器將自動(dòng)完成運(yùn)行時(shí)庫的鏈接，將我們的main函數(shù)封裝起來，由它來調(diào)用。

glibc是開源的，我們可以在GitHub上找到這個(gè)項(xiàng)目的libc-start.c文件，一窺__libc_start_main的真面目，我們的main函數(shù)正是被它在調(diào)用。

完整流程

到這里，我們梳理了，從進(jìn)程創(chuàng)建fork，到通過exec系列函數(shù)完成可執(zhí)行文件的替換，再到執(zhí)行流程進(jìn)入到ELF文件的入口，再到我們的main函數(shù)的完整流程。

Windows上的一些區(qū)別

下面簡單介紹下Windows上這一流程的一些差異。

首先是創(chuàng)建進(jìn)程的環(huán)節(jié)，Windows系統(tǒng)將fork+exec兩步合并了一步，通過CreateProcess系列函數(shù)一步到位，在其參數(shù)中指定子進(jìn)程的可執(zhí)行文件路徑。

不同于Linux上進(jìn)程和線程的邊界模糊，在Windows操作系統(tǒng)上，內(nèi)核是有明確的進(jìn)程和線程概念定義，進(jìn)程用EPROCESS結(jié)構(gòu)表示，線程用ETHREAD結(jié)構(gòu)表示。

所以在Windows上，進(jìn)程相關(guān)的工作準(zhǔn)備就緒后，還需要單獨(dú)創(chuàng)建一個(gè)參與內(nèi)核調(diào)度的執(zhí)行單元，也就是進(jìn)程中的第一個(gè)線程：主線程。當(dāng)然，這個(gè)工作也封裝在了CreateProcess系列函數(shù)中了。

新進(jìn)程的主線程創(chuàng)建完成后，便開始參與系統(tǒng)調(diào)度了。主線程從哪里開始執(zhí)行呢？內(nèi)核在創(chuàng)建時(shí)就明確進(jìn)行了指定：nt!KiThreadStartup，這是一個(gè)內(nèi)核函數(shù)，線程啟動(dòng)后就從這里開始執(zhí)行。

線程從這里啟動(dòng)后，再通過Windows的異步過程調(diào)用APC機(jī)制執(zhí)行提前插入的APC，進(jìn)而將執(zhí)行流程引入應(yīng)用層，去執(zhí)行Windows進(jìn)程應(yīng)用程序的初始化工作，比如一些核心DLL文件的加載（Kernel32.dll、ntdll.dll）等等。

隨后，再次通過APC機(jī)制，再轉(zhuǎn)向去執(zhí)行可執(zhí)行文件的入口點(diǎn)。

這后面和Linux上的機(jī)制類似，同樣沒有直接到main函數(shù)，而是需要先進(jìn)行C/C++運(yùn)行時(shí)庫的初始化，這之后經(jīng)過運(yùn)行時(shí)函數(shù)的包裝，才最終來到我們的main函數(shù)。

下面是Windows上，從創(chuàng)建進(jìn)程到我們的main函數(shù)的完整流程（高清大圖：https://bbs.pediy.com/upload/attach/201604/501306_qz5f5hi1n3107kt.png）：

現(xiàn)在你清楚，從進(jìn)程啟動(dòng)是怎么一步步到你的main函數(shù)的了嗎？

責(zé)任編輯：xj

原文標(biāo)題：從創(chuàng)建進(jìn)程到進(jìn)入main函數(shù)，發(fā)生了什么？

文章出處：【微信公眾號(hào)：strongerHuang】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。