Windows系统中，.exe后缀的文件一般可以双击运行。编程时，编译出来的最终结果一般也表现为一个exe程序和其他的为程序执行提供支持的dll。我们双击一个exe程序的时候，在操作系统层面上，做了些什么使得应用程序能够执行呢？

现在有一个App.exe文件，根据这篇文章的说法，我总结了一下，双击App.exe之后操作系统做的工作如下：

1、 shell调用CreateProcss激活一个App.exe进程。Shell即命令解释器，是操作系统引导时即加载的一个系统进程，在Windows任务管理器里面可以看到一个名为”Explorer.exe”的进程，就是它了。

2、 CreateProcss创建了一个进程内核对象，而系统为该进程创建4GB的虚拟地址空间(在Win2000/WinXP下，每个进程可以有2GB的私有地址空间，剩余的2GB由操作系统占用)用来加载App.exe和其他必要的DLL函数；

3、 CreateProcess加载exe文件，分析文件头(具体格式见PE文件格式分析)以识别文件的运行环境，根据文件头决定由那个环境进行加载操作；

4、 加载App.exe及其必要的DLL文件数据和代码后，CreateProcss即创建主线程，执行C/C++运行时的启动代码，由启动代码执行剩下的过程。

Read the rest of this entry »