windows理论基础（一）

 windows体系结构

一、 用户模式和内核模式

(user mode &kernel mode)

Intel x86 处理器的体系结构定义了四种特权级，或特为四个环。来保护系统代码不会被低级别的代码恶意地或无意的改写掉。

特权级0（或称0环）作为内核模式，特权级3作为用户模式。

1.内核模式下的操作系统和设备驱动程序共享同一个虚拟地址空间。对于内核模式下运行的组件，

windows对它们的读写系统内存并不加以保护。

特权级：Privilege level

2. 与模式有关的性能计数器 ：

Processor: % Privilege Time (内核模式下)    %User Time(用户模式下)

表示：指定的间隔内，单个CPU运行在内核/用户模式下的时间所占的百分比

Process: % Privilege Time       %User Time

Thread: % Privilege Time        %User Time

二、系统结构

用户模式的线程在一个受保护的进程地址空间中执行。因此，系统支持进程、服务进程、用户应用程序和环境子系统都有它们各自的

私有进程地址空间。

三、Windows的核心系统文件

四、 硬件抽象层：HAL

Hardware Abstraction Layer,硬件抽象层 Windows NT的一个目标是使操作系统可跨平台移植.

HAL是一个可加载的，内核模式的模块，它提供了针对windows当前运行所在的硬件所在平台的低层接口。隐藏了与硬件相关的细节，比如I/O接口，中断控制器等。

可通过相依性检查工具：Depends.exe来检查内核和HAL文件的导出和导入表，从而了解它们之间的关系。

注意：Ntoskrnl链接了HAL,而HAL又链接了Ntoskrnl(它位相互使用了对方的函数)

五、 系统进程

以下的系统进程会出现在每一个windows系统中---空闲进程、System进程---不是完整的进程，它们并不是在运行一个用户模式的可执行文件。

①   空闲进程(Idle)---每个CPU 一个线程，占用空闲的CPU时间。

②   System进程(包含大多数内核模式系统线程)

③   会话管理器(Smss.exe)

④   Windows子系统(Csrss.exe)

⑤   登录进程(Winlgon.exe)

⑥   服务控制管理器(Services.exe)和它创建的子服务进程(如Svchost.exe)

⑦   本地安全认证服务器(Lsass.exe)

注：中断和DPC

标记为”Interrupts”和”DPCs”的这两行代表用于中断和延迟过程调用的时间。在任务管理器将中断和DPC时间包含在系统空闲时间中。