内核层次架构
windows程序运行分为内核模式和用户模式,内核模式可以访问所有的内存地址空间, 并且可以访问所有的CPU指令。一般程序运行在用户模式, 通过系统调用切换到内核模式执行系统功能,Windows系统通过这种方式来确保系统的安全和稳定。
下面是内核的层次划分:
硬件抽象层(Hardware Abstraction Layer) (HAL) (hal.dll)
最底层隔离硬件的, 底层的第三方驱动程序就运行在这层。
内核 (Kernel)
实现操作系统的一些底层服务,比如线程调度, 多处理器的同步,中断/异常处理等。
执行体 (Executive)
实现基本的操作系统服务,比如基本的线程进程管理,内存管理, IO及进程间通讯等。
窗口图形子系统(Windows Graphics Subsystem)
由win32K.sys在内核层实现, 用户界面相关都依赖该层, User32.dll的大部分功能都由该层实现。
用户层关键进程
Windows系统在用户层有几个关键的系统进程:
Smss.exe (session manager Subsystem)
关于Session的概念可以参考我的这篇Sessions, Window Stations and Desktops, 在操作系统启动时会创建一个不与任何Session关联的Smss.exe管理者实例, 然后当有用户登录时它会为每个Sessin拷贝一份与之关联的Smss.exe实例,然后由该关联的Smss.exe实例启动winlogon.exe和csrss.exe.
WinLogon.exe
该进程管理用户的登录和注销, 我们按Ctrl+Alt+Del出现的界面和登录后出现的桌面窗口都是由它启动的。
Csrss.exe ( Client/Server Runtime Subsystem)
我们可以看到我们的桌面窗口(GetDesktopWindow)是由该进程创建的, 该进程主要负责Win32子系统的用户模式部分(内核模式部分由win32k.sys实现)。
Lsass.exe (Local Security Authority Subsystem)
WinLogon.exe通过该进程验证用户登录, 登录后产生安全访问令牌对象, 通过该令牌创建Explorer.exe, 我们其他用户进程都由Explorer.exe启动,并且继承了该令牌权限。
Services.exe
该进程简称为SCM (NT Service Control Manager), 该进程负责启动用户态一些特殊进程, 也就是我们通常所说的服务程序。
用户模式调用内核模式方式
由用户模式调用内核模式一般有2种方式 系统调用(system call) 和 IOCTL (IO Control Commands)
内核模式调用用户模式方式
可以通过IOCTL的上下文传递, 也可以通过APC (Asynchronous Procedure Call)直接调用。
进程间通讯方式
另外一种非常强大的用户模式与内核模式通讯方式, 同时也支持进程间通讯, 该方式就是ALPC (Advanced Local Procedure Call), 该方式被操作系统大量使用, WinRT中的Broker进程也用到了它 。
该方式实际上就4个核心函数:nt!NtAlpcSendWaitReceivePort, nt!NtAlpcCreatePort, nt!NtAlpcConnectPort, Nt!AplcAcceptConnectPort, 大概原理如下:
总结一下 ,通过上面Windows系统中一些关键概念的介绍, 加深我们对Windows系统的理解, 让我们对应用开发全局性的把握。