4、通知Windows子系统新进程创建了（子系统是操作系统的一部分它是一个协助操作系统内核管理用户态/客户方的一个子系统具体的进程为Csrss、exe）。接下来操作系统通过客户态（Kernel32、dll）给Windows子系统（Csrss）发送一个新进程线程创建的数据消息，让子系统建立自己的进程线程管理块。当Csrss接收到该消息时候执行下面的处理：

　　*复制一份该进程和线程句柄

　　*设置进程优先级

　　*分配Csrss进程块

　　*把新进程的异常处理端口绑定到Csrss中，这样当该进程发生异常时，Csrss将会接收到异常消息

　　*分配和初始化Csrss线程块

　　*把线程插入到进程的线程列表中

　　*把进程插入到Csrss的线程列表中

　　*显示进程启动光标

　　5、开始执行初始线程（如果创建时候指定了线程的CREATE_SUSPENDED状态则线程暂时挂起不执行）。到这里进程环境已经建立完毕进程中开始创建的主线程到这里获得执行权开始执行线程。

　　6、在新进程和线程环境中完成地址空间的初始化（比如加载必须的DLL和库），然后开始到进程入口执行。

　　到这步实质是调用ldrInitializeThunk来初始化加载器，堆管理器NLS表TLS数组以及临界区结构，并且加载任何必须要的DLL并且用

　　DLL_PROCESS_ATTACH功能代码来调用各DLL入口点，最后当加载器初始化例程返回到用户模式APC分发器时进程映像开始在用户模式下执行，然后它调用线程启动函数开始执行。

　　到这里操作系统完成了所有的创建工作，我们写的程序就这样被操作系统调用运行起来了。