《深入理解Windows操作系统》笔记2

最新推荐文章于 2022-05-17 00:15:00 发布
最新推荐文章于 2022-05-17 00:15:00 发布
阅读量1k 收藏
点赞数
文章标签: 操作系统
原文链接:https://my.oschina.net/chen106106/blog/45191
版权

SDK中有一个工具依赖性查找工具depends.exe 可以看到进程的子系统类型。发现这个工具和VS6企业版中的Microsoft Visual Studio 6.0 Tools中的Depends"C:\Program Files\Microsoft Visual Studio\Common\Tools\DEPENDS.EXE")是一样的。晕!!

Windows子系统:

1、环境子系统csrss.exe包括下列支持:

a) 控制台文本窗口

b) 创建或删除进程和线程

c) 对16位虚拟DOS机进程的一部分支持

d) 其他一些函数,比如gettempfiledefinedosdeviceexitwindowsex

2、内核模式设备驱动程序win32k.SYS 包含:

a) 窗口管理器,包括采集键盘,鼠标的输入

b) 图形设备接口GDI(在NT4之前,作为用户模式windows子系统的一部分)

3、子系统DLL比如kernel32.DLLadvapi.DLLuser32.DLLGDI32.dll

4、图形设备驱动程序

USERGDI放在内核模式中,windows会不稳定吗?

答:在此NT4之前,一个错误指针会导致系统崩溃,将窗口管理器和GDI从用户模式迁移到了内核模式,不仅提高了性能,而且可以将稳定性降到最低!

Posix子系统

一个基于UNIX的可移植的操作系统接口的首字母缩写,这个POSIX标准有很多,Windows实现的是POSIX.1

POSIX子系统有助于将UNIX应用移植到windows平台上,然而,这个程序仍然被链接为可执行程序,不能调用windows函数。如果你需要unix移植到windows中并且可以调用windows函数,你需要购买UNIX TO WINDOWS的软件,比如www.MKSSOFTWARE.COM

如果要在windows编译链接一个posix程序,需要在SDK的中POSIX头文件和库文件中使用链接库psxdll.DLL

OS/2子系统

支持有局限,如果OS/2中设计的硬件及高级视频IO代码,在windows上使用该子系统不可用。

原生的OS/2 1.2上有16M的内存限制。而在windows提供的OS/2中可以使用512M

硬件抽象层HAL

C:\WINDOWS\Driver Cache\i386>dir

 驱动器 中的卷没有标签。

 卷的序列号是 18F6-A188

 C:\WINDOWS\Driver Cache\i386 的目录

2011-12-05  10:36    <DIR>          .

2011-12-05  10:36    <DIR>          ..

2008-04-14  20:00        62,857,674 driver.cab

               2 个文件     83,085,231 字节

               2 个目录 146,253,623,296 可用字节

如果打了SP3补丁,则在此CAB压缩包中有多个版本的HAL.DLL文件

C:\>dir ntoskrnl.exe /a/s

 驱动器 中的卷没有标签。

 卷的序列号是 18F6-A188

 C:\WINDOWS\system32 的目录

2008-04-14  20:00         2,144,768 ntoskrnl.exe

               1 个文件      2,144,768 字节

     所列文件总数:

               1 个文件      2,144,768 字节

               0 个目录 146,251,362,304 可用字节




其中,我们发现ntoskrnl链接了HALHAL又链接了ntoskrnl,相互使用了对方的函数。Ntoskrnl也链接了BOOTVID.DLL,这个是用来实现GUI启动屏幕的引导视频驱动程序,在XP系统以后的环境中还有一个附加的DLLkdcom.DLL它包含了内核调试器的基础代码,在XP之前,它被包含在ntoskrnl.EXE中。

WINDOWS 2000开始使用WDM驱动也就是windows驱动程序模型。从WDM来看,有三种驱动程序

1、总线型驱动:总线控制器,适配器,桥,带有子设备的设备提供服务器。比如PCI,USB

2、功能性驱动:这个是必须的,比如SCSI

3、过滤性驱动,一般只有OEM来提供放在总线型驱动之上。

C:\>pstat |more

Pstat version 0.3:  memory: 2882732 kb  uptime:  0  3:33:12.531

no page files in use

 Memory:2882732K Avail:1809228K  TotalWs: 808476K InRam Kernel: 2580K P:59176K

 Commit: 872612K/ 718480K Limit:2720228K Peak: 936212K  Pool N:48464K P:59484K

    User Time   Kernel Time    Ws   Faults  Commit Pri Hnd Thd Pid Name

                           169996  2309601                         File Cache

  0:00:00.000   6:19:14.046    28        0       0  0    0   2   0 Idle Process

  0:00:00.000   0:02:03.828   344    13635      52  8  798  87   4 System

  0:00:01.015   0:00:00.031   496      328     232 11   19   3 612 smss.exe

  0:00:01.765   0:00:12.421 10584    31486    2340 13  751  13 1124 csrss.exe

  0:00:00.140   0:00:00.312  5300     5907    8136 13  526  23 1156 winlogon.exe

  0:00:00.656   0:00:01.796  3580    15578    1844  9  321  15 1200 services.exe

  0:00:01.640   0:00:03.765  1308    16798    2840  9  425  16 1212 lsass.exe

  0:00:41.234   0:00:08.625 15460   533817  123300  8  181  33 1392 avguard.exe

  0:00:00.046   0:00:00.015  2476      652     688  8   33   2 1572 avshadow.exe

  0:00:00.046   0:00:00.156  3416      912    2076  8  100   4 1592 ati2evxx.exe

  0:00:00.062   0:00:00.046  5556     1746    3240  8  226  18 1612 svchost.exe

  0:00:00.234   0:00:00.265  5024     1652    2064  8  351  10 1672 svchost.exe

  0:00:00.578   0:00:00.890  3904    25888    2236  8  112   5 128 ati2evxx.exe

  0:00:01.421   0:00:01.093 21844    14256   13468  8 1516  57 676 svchost.exe

  0:00:04.500   0:00:00.656  4400     7844    2032  8  107   6 812 svchost.exe

-- More  --

System进程在windows 2000ID=8,windows xp2003中,ID=4




C:\>livekd

LiveKd v5.0 - Execute kd/windbg on a live system

Sysinternals - www.sysinternals.com

Copyright (C) 2000-2010 Mark Russinovich and Ken Johnson

Launching C:\Program Files\Debugging Tools for Windows (x86)\kd.exe:

Microsoft (R) Windows Debugger Version 6.12.0002.633 X86

Copyright (c) Microsoft Corporation. All rights reserved.

Loading Dump File [C:\WINDOWS\livekd.dmp]

Kernel Complete Dump File: Full address space is available

Comment: 'LiveKD live system view'

Symbol search path is: srv*c:\Symbols*http://msdl.microsoft.com/download/symbols

Executable search path is:

Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 2600.xpsp.080413-2111

Machine Name:

Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055e720

Debug session time: Sun Feb 13 10:34:57.897 17420 (UTC + 8:00)

System Uptime: 0 days 3:40:13.673

WARNING: Process directory table base 00722000 doesn't match CR3 0A9F06C0

WARNING: Process directory table base 00722000 doesn't match CR3 0A9F06C0

Loading Kernel Symbols

...............................................................

................................................................

............

Loading User Symbols

Loading unloaded module list

...............

0: kd> 0: kd> 0: kd>

0: kd>

0: kd> !stacks 0

Proc.Thread  .Thread  Ticks   ThreadState Blocker

*** ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS

                            [8a36ba00 System]

   4.00004c  8a362020 ffffef52 Blocked    nt!MiGatherPagefilePages+0x40

*** ERROR: Module load completed but symbols could not be loaded for sptd.sys

   4.000064  8a392bd8 00ce2c2 Blocked    sptd+0x874ee

   4.000068  8a392960 00ce74f Blocked    sptd+0x874ee

   4.00006c  8a3926e8 00ce74f Blocked    sptd+0x874ee

*** ERROR: Module load completed but symbols could not be loaded for RtkHDAud.sy

s

   4.00016c  89d3cb08 00ce5fc Blocked    RtkHDAud+0x110e

   4.000170  89d3c890 00ce5fc Blocked    RtkHDAud+0x110e

   4.000174  89cc6868 00ce5fc Blocked    RtkHDAud+0x110e

   4.000178  89cbdb08 00ce5fc Blocked    RtkHDAud+0x110e

   4.00017c  89cbcda8 00ce5fb Blocked    RtkHDAud+0x110e

   4.000180  89cbc890 00ce5fb Blocked    RtkHDAud+0x110e

   4.000184  8a06f6e8 00ce5fb Blocked    RtkHDAud+0x110e

   4.000188  89cbf7e8 ffffe699 Blocked    RtkHDAud+0x110e

   4.00018c  89cbf548 0004025 Blocked    RtkHDAud+0x49368

   4.000190  89cca528 0003f4c Blocked    RtkHDAud+0x43c98

 !stacks 0可以表示出system进程中的系统线程,可以找出一个线程的当前地址

Drivers 可以列出每个已经被加载的设备驱动程序的基础地址

第一列表示 进程ID和线程ID

第二列表示线程的当前地址

第三列表示线程是wait状态还是就绪状态,还是运行状态,还是运行状态

第四列表示该线程的堆栈中最顶上的地址,可以看出每个线程是哪个驱动程序中被启动起来的。

s

   4.0005ac  87cb3468 00c0e87 Blocked    avgntflt+0x16a8

   4.0005b0  87cb31f0 0000082 Blocked    avgntflt+0x19ab

*** ERROR: Module load completed but symbols could not be loaded for hcmon.sys

   4.0000c0  87a07720 00cd9c8 Blocked    hcmon+0x1b7d

*** ERROR: Module load completed but symbols could not be loaded for vmx86.sys

   4.0000d4  87bc13c8 00cd9c6 Blocked    vmx86+0x3a9d

   4.000d24  87a25020 fffff285 Blocked    HTTP!UlpScavengerThread+0x5d

*** ERROR: Module load completed but symbols could not be loaded for PECKP.SYS

   4.000da0  878737f0 00c1ed7 Blocked    PECKP+0x1234a

                            [899a3370 smss.exe]

*** ERROR: Module load completed but symbols could not be loaded for ati2mtag.sy

s

                            [88242da0 csrss.exe]

 464.000470  884046e8 00ce2c8 Blocked    ati2mtag+0x4b1c

 464.00047c  88229da8 ffffffe1 Blocked    nt!KiFastCallEntry+0xfc

 464.00048c  88400d10 ffffd5a6 Blocked    nt!KiFastCallEntry+0xfc

 464.000494  8821da30 ffffd59b Blocked    win32k!xxxMsgWaitForMultipleObjects+0x

b0

 464.0004f4  87ce45f0 ffffb3c5 Blocked    nt!KiFastCallEntry+0xfc

 464.000ff0  8799abf8 ffffb3b4 Blocked    nt!KiFastCallEntry+0xfc

                            [88412470 winlogon.exe]

 484.0004ac  8821cda8 ffffd639 Blocked    nt!KiFastCallEntry+0xfc

 484.0007fc  87c11270 000003b Blocked    nt!KiFastCallEntry+0xfc

 484.0003b8  87bde408 ffffba64 Blocked    nt!KiFastCallEntry+0xfc

 484.000ba8  87cd3798 ffffb995 Blocked    nt!KiFastCallEntry+0xfc

 484.00084c  87ae9020 ffffb94b Blocked    nt!KiFastCallEntry+0xfc

 484.000cec  8749eda8 ffffbc62 Blocked    nt!KiFastCallEntry+0xfc

 484.000784  87986bf0 00000fb Blocked

TYPE mismatch for thread object at 87436640

 484.------  NO ETHREAD DATA

 484.------  NO ETHREAD DATA

Unable to read _ETHREAD at fffffe50

                            [8821b410 services.exe]

 4b0.0004cc  87cfcb30 ffffb875 Blocked    nt!KiFastCallEntry+0xfc

 4b0.00052c  87ccf5d8 ffffbc7c Blocked    nt!KiFastCallEntry+0xfc

 4b0.000540  87cd1020 ffffb3e1 Blocked    nt!KiFastCallEntry+0xfc

 4b0.00054c  87650020 ffffb360 Blocked    nt!KiFastCallEntry+0xfc

 4b0.000cac  87695020 ffffb35f Blocked    nt!KiFastCallEntry+0xfc

                            [87cf3418 lsass.exe]

 4bc.0004dc  87cf05f0 ffffb5c0 Blocked    nt!KiFastCallEntry+0xfc

 4bc.0004f0  87ce4868 ffffbc70 Blocked    nt!KiFastCallEntry+0xfc

 4bc.000508  8821ebb8 ffffd5cd Blocked    +0x8821ebb8

 4bc.000528  87cd6da8 ffffb74a Blocked    nt!KiFastCallEntry+0xfc

                            [87cbfb38 avguard.exe]

 570.0005a4  87cc1da8 ffffb3a3 Blocked    nt!KiFastCallEntry+0xfc

 570.0005b4  87cafcd0 ffffb35b Blocked    nt!KiFastCallEntry+0xfc

 570.0005b8  87c9f8f0 ffffb333 Blocked    nt!KiFastCallEntry+0xfc

 570.0005bc  87ca94e8 ffffb330 Blocked    nt!KiFastCallEntry+0xfc

 570.0005dc  87c9dda8 ffffb721 Blocked    nt!KiFastCallEntry+0xfc

 570.0005e4  87cc3b10 ffffb392 Blocked    nt!KiFastCallEntry+0xfc

 570.0005ec  87c68020 ffffb5ed Blocked    nt!KiFastCallEntry+0xfc

 570.0005f4  87ca0458 ffffb46d Blocked    nt!KiFastCallEntry+0xfc

 570.0005fc  87c8e338 ffffb5b7 Blocked    nt!KiFastCallEntry+0xfc

 570.000600  87c67718 ffffb344 Blocked    nt!KiFastCallEntry+0xfc

                            [87c56be0 avshadow.exe]

                            [87c52420 ati2evxx.exe]

                            [87c38320 svchost.exe]

 64c.000678  87c284e8 ffffb536 Blocked    nt!KiFastCallEntry+0xfc

 64c.00076c  87ae2868 0001208 Blocked    nt!KiFastCallEntry+0xfc

 64c.000358  8a277be8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 64c.000764  878f1da8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 64c.00042c  878f1b30 0001208 Blocked    nt!KiFastCallEntry+0xfc

 64c.000324  87ae2020 0001208 Blocked    nt!KiFastCallEntry+0xfc

 64c.00031c  87ae25f0 0001208 Blocked    nt!KiFastCallEntry+0xfc

 64c.0007b0  8a276328 0000001 Blocked    nt!KiFastCallEntry+0xfc

 64c.000834  878f0538 0001208 Blocked    nt!KiFastCallEntry+0xfc

 64c.0001d4  87662020 ffffbb8c Blocked    nt!KiFastCallEntry+0xfc

                            [87c28be0 svchost.exe]

 688.000eec  878e8020 ffffb2af Blocked    nt!KiFastCallEntry+0xfc

 688.000fa8  8768f020 ffffb2ad Blocked    nt!KiFastCallEntry+0xfc

 688.000dcc  8747ada8 ffffb85f Blocked    nt!KiFastCallEntry+0xfc

                            [87c0da20 ati2evxx.exe]

  80.0003cc  87bdcda8 ffffb3f9 Blocked    nt!KiFastCallEntry+0xfc

                            [87c02020 svchost.exe]

 2a4.0002a0  87c10020 0001208 Blocked    nt!NtReadFile+0x55d

 2a4.000320  87bf25c8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 2a4.0003e0  87bd9718 ffffb91b Blocked    nt!KiFastCallEntry+0xfc

 2a4.0003e8  87be45a8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 2a4.0003f8  87bd5020 000041c Blocked    nt!KiFastCallEntry+0xfc

 2a4.000608  87bd7da8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 2a4.000658  88424020 0001208 Blocked    nt!KiFastCallEntry+0xfc

 2a4.0006f8  87a0daa0 ffffdb0f Blocked    nt!KiFastCallEntry+0xfc

 2a4.0000b8  87bccda8 00000dd Blocked    nt!KiFastCallEntry+0xfc

 2a4.0000b0  87bcea38 ffffffeb Blocked    nt!KiFastCallEntry+0xfc

 2a4.0000b4  87a1bc40 ffffe194 Blocked    nt!KiFastCallEntry+0xfc

 2a4.000534  87928830 0000050 Blocked    nt!KiFastCallEntry+0xfc

 2a4.000a28  87ae7bf8 ffffb4d8 Blocked    nt!KiFastCallEntry+0xfc

 2a4.0008e0  87ae4270 ffffb64c Blocked    nt!KiFastCallEntry+0xfc

 2a4.0008e4  8795f2a0 ffffb64c Blocked    nt!KiFastCallEntry+0xfc

 2a4.0008e8  87ae2378 0001208 Blocked    nt!KiFastCallEntry+0xfc

 2a4.000940  8a273868 0001208 Blocked    nt!KiFastCallEntry+0xfc

 2a4.000978  8a2725d8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 2a4.000994  8a2716d0 0001208 Blocked    nt!KiFastCallEntry+0xfc

 2a4.000be0  87c78da8 ffffb4d9 Blocked    nt!KiFastCallEntry+0xfc

 2a4.000ee4  8a2b9500 0000975 Blocked    nt!KiFastCallEntry+0xfc

 2a4.0003f4  87875020 ffffd71d Blocked    nt!KiFastCallEntry+0xfc

 2a4.0009e4  8780c610 ffffb22a Blocked    nt!KiFastCallEntry+0xfc

                            [87bf2348 svchost.exe]

 32c.000c38  8766ada8 ffffb30d Blocked    nt!KiFastCallEntry+0xfc

 32c.000b98  8764c3a0 ffffb2e9 Blocked    nt!KiFastCallEntry+0xfc

 32c.000b3c  87685020 ffffb2e9 Blocked    nt!KiFastCallEntry+0xfc

                            [87be5be0 svchost.exe]

 390.000360  87756c10 ffffb718 Blocked    nt!KiFastCallEntry+0xfc

                            [87bd56a0 sched.exe]

 664.0006ac  87bce5c8 0001208 Blocked    nt!NtReadFile+0x55d

 664.0006b0  87bc9be8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 664.0006b8  87bce350 0001208 Blocked    nt!KiFastCallEntry+0xfc

 664.0006d0  87bd6c40 000017d Blocked    nt!KiFastCallEntry+0xfc

                            [87a135a0 inetinfo.exe]

 104.000108  87bc8a68 0001208 Blocked    nt!NtReadFile+0x55d

 104.000130  87a0abe8 ffffd921 Blocked    nt!KiFastCallEntry+0xfc

 104.00079c  8799d470 ffffb3b7 Blocked    nt!KiFastCallEntry+0xfc

 104.000388  87996438 ffffb492 Blocked    nt!KiFastCallEntry+0xfc

 104.0003bc  879a4a50 0001208 Blocked    nt!KiFastCallEntry+0xfc

 104.0003c0  87b45da8 ffffb478 Blocked    nt!KiFastCallEntry+0xfc

                            [879fe988 jqs.exe]

 120.000134  884265e8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 120.000144  87a104f8 000028b Blocked    nt!MiDeferredUnlockPages+0x31

 120.0001d8  879f2c18 ffffb193 Blocked    nt!KiFastCallEntry+0xfc

                            [879e6020 sqlservr.exe]

 1bc.0002b0  87b86538 ffffb235 Blocked    nt!KiFastCallEntry+0xfc

 1bc.0002f0  87b77020 ffffb1ed Blocked    nt!KiFastCallEntry+0xfc

                            [87b896a0 sqlwriter.exe]

 22c.000230  879ddda8 0001208 Blocked    nt!NtReadFile+0x55d

 22c.000234  879d7970 0001208 Blocked    nt!KiFastCallEntry+0xfc

                            [879dfbe8 vmware-authd.ex]

 25c.000d4c  87be0328 0000076 Blocked    nt!KiFastCallEntry+0xfc

 25c.000d50  87bcb020 0001208 Blocked    nt!KiFastCallEntry+0xfc

 25c.000d54  87bcbda8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 25c.000f90  87b63970 ffffb2cc Blocked    nt!KiFastCallEntry+0xfc

                            [879c8da0 vmount2.exe]

 2f8.000338  87b71020 ffffb265 Blocked    nt!KiFastCallEntry+0xfc

                            [879bcda0 vmnat.exe]

                            [879ae4e0 vmnetdhcp.exe]

                            [87a5d4e0 explorer.exe]

 a88.000ae0  87b03da8 0000b69 Blocked    nt!KiFastCallEntry+0xfc

 a88.000850  87c0a020 ffffb44b Blocked    nt!KiFastCallEntry+0xfc

 a88.0001ec  87ade6b0 000054f Blocked    nt!KiFastCallEntry+0xfc

                            [87b20880 RTHDCPL.EXE]

                            [8796fbe0 MOM.exe]

 b1c.000b34  87a36da8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 b1c.000fec  87b6fda8 ffffb268 Blocked    nt!KiFastCallEntry+0xfc

 b1c.000444  87978c00 ffffb3a2 Blocked    nt!KiFastCallEntry+0xfc

 b1c.000458  8823f328 0001208 Blocked    nt!KiFastCallEntry+0xfc

 b1c.00045c  8823d020 0001208 Blocked    nt!KiFastCallEntry+0xfc

 b1c.0008a0  87ae8da8 ffffb37b Blocked    nt!KiFastCallEntry+0xfc

TYPE mismatch for thread object at 87642020

 b1c.------  NO ETHREAD DATA

TYPE mismatch for thread object at 8a308140

 b1c.------  NO ETHREAD DATA

 b1c.------  NO ETHREAD DATA

Unable to read _ETHREAD at 85ffe53

                            [8796cb40 GooglePinyinDae]

 b2c.000b60  8a1bc4c0 0001208 Blocked    nt!KiFastCallEntry+0xfc

 b2c.000b64  8a1bc8a8 0001208 Blocked    nt!IopXxxControlFile+0x5c5

 b2c.000b68  884052c0 ffffd9ae Blocked    nt!KiFastCallEntry+0xfc

 b2c.000bc4  87bd0bf8 00002ee Blocked    nt!KiFastCallEntry+0xfc

 b2c.000de0  876ad020 ffffb14f Blocked    nt!KiFastCallEntry+0xfc

                            [88406da0 SetPoint.exe]

 b7c.000434  87cb5be8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 b7c.000644  8a2bb9f8 0001208 Blocked    nt!KiFastCallEntry+0xfc

                            [87bb84c8 avgnt.exe]

 bec.000d08  87cb0a30 0001208 Blocked    nt!KiFastCallEntry+0xfc

                            [87970418 GooglePinyinSer]

                            [87b23da0 ctfmon.exe]

 c24.000c28  87bf9618 ffffb2e9 Blocked    nt!KiFastCallEntry+0xfc

                            [87be14e0 YodaoDict.exe]

 d44.000228  8a2bc868 00000c0 Blocked    nt!KiFastCallEntry+0xfc

 d44.000f84  87960020 ffffb25e Blocked    nt!KiFastCallEntry+0xfc

 d44.000960  8a275748 0001208 Blocked    nt!KiFastCallEntry+0xfc

 d44.000a60  8a2708b8 ffffb0ad Blocked    nt!KiFastCallEntry+0xfc

 d44.000a64  88235bf8 0001208 Blocked    nt!KiFastCallEntry+0xfc

                            [87cfba30 vmserverdWin32.]

 d5c.000fe4  87c3cda8 ffffb378 Blocked    nt!KiFastCallEntry+0xfc

 d5c.0007b8  87b44bf0 ffffb7ac Blocked    nt!KiFastCallEntry+0xfc

 d5c.000ea8  87964bf0 ffffb2e2 Blocked    nt!KiFastCallEntry+0xfc

                            [879c0be0 YoudaoNote.exe]

 db4.00043c  87a17480 0000610 Blocked    nt!KiFastCallEntry+0xfc

 db4.00085c  87c98da8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 db4.0008fc  8a277970 0001208 Blocked    nt!KiFastCallEntry+0xfc

 db4.000980  87add460 0001208 Blocked    nt!KiFastCallEntry+0xfc

                            [88411020 klive.exe]

 df8.000ff4  87bcbb30 0001208 Blocked    nt!KiFastCallEntry+0xfc

 df8.000ff8  88411340 0001208 Blocked    nt!KiFastCallEntry+0xfc

 df8.000d94  87acf850 ffffb111 Blocked    nt!KiFastCallEntry+0xfc

 df8.000fcc  87bcaa38 0001208 Blocked    nt!IopXxxControlFile+0x5c5

 df8.0000d8  8799f398 0001208 Blocked    nt!IopXxxControlFile+0x5c5

 df8.0000ec  89c46aa0 0001208 Blocked    nt!IopXxxControlFile+0x5c5

 df8.000de4  87aafa78 ffffb069 Blocked    nt!KiFastCallEntry+0xfc

 df8.000e94  88402868 ffffd5a9 Blocked    +0xa3f5ecec

 df8.000a6c  8781d868 ffffb2ec Blocked    nt!KiFastCallEntry+0xfc

 df8.0008f4  87aa7da8 ffffb03f Blocked    nt!KiFastCallEntry+0xfc

 df8.000594  878a0a28 ffffb04d Blocked    nt!KiFastCallEntry+0xfc

 df8.0009fc  8789f980 ffffb449 Blocked    nt!KiFastCallEntry+0xfc

 df8.000a04  8789f490 ffffb416 Blocked    nt!KiFastCallEntry+0xfc

 df8.000a54  8794f710 ffffb06d Blocked    nt!KiFastCallEntry+0xfc

 df8.000f34  87a0a870 ffffd9ac Blocked    nt!KiFastCallEntry+0xfc

 df8.000b28  877f1b38 0001208 Blocked    nt!KiFastCallEntry+0xfc

                            [87a53408 CCC.exe]

 414.00034c  8796b4e0 ffffb11b Blocked    nt!KiFastCallEntry+0xfc

 414.000240  87b6cc48 ffffb341 Blocked    nt!KiFastCallEntry+0xfc

 414.00012c  87436b30 ffffb5c1 Blocked    LiveKdD+0x32fd

                            [87a52570 KHALMNPR.exe]

 4c0.000710  8a27b640 0001208 Blocked    nt!KiFastCallEntry+0xfc

 4c0.0007e8  87a32788 0001208 Blocked    nt!KiFastCallEntry+0xfc

 4c0.00080c  8823ada8 0001208 Blocked    nt!KiFastCallEntry+0xfc

 4c0.000810  87afe748 0001208 Blocked    nt!KiFastCallEntry+0xfc

 4c0.000820  8823a430 0001208 Blocked    nt!KiFastCallEntry+0xfc

 4c0.0008d4  878efda8 ffffffe0 Blocked    nt!KiFastCallEntry+0xfc

 4c0.000400  87ae2c00 0001208 Blocked    nt!KiFastCallEntry+0xfc

                            [8796a3b8 wmiprvse.exe]

                            [87ae4da0 MDM.EXE]

 90c.000930  878eba30 fffffffc Blocked    nt!KiFastCallEntry+0xfc

                            [8a277370 alg.exe]

 91c.00095c  87adc4e8 0000603 Blocked    nt!KiFastCallEntry+0xfc

                            [87a8a020 conime.exe]

                            [8794cbe8 dllhost.exe]

 f94.000af8  87a63da8 ffffb0d8 Blocked    nt!KiFastCallEntry+0xfc

 f94.000eb4  87a76288 ffffafab Blocked    nt!KiFastCallEntry+0xfc

 f94.00089c  8788ada8 ffffb0aa Blocked    nt!KiFastCallEntry+0xfc

 f94.000900  87881020 ffffb12a Blocked    nt!KiFastCallEntry+0xfc

                            [8794b6b0 dllhost.exe]

 f5c.000f9c  87a37910 0001208 Blocked    nt!KiFastCallEntry+0xfc

 f5c.000a30  8787a440 ffffd6e2 Blocked    nt!KiFastCallEntry+0xfc

 f5c.000fe0  878c2628 ffffb235 Blocked    nt!KiFastCallEntry+0xfc

 f5c.000fa4  877f62d0 ffffb228 Blocked    nt!KiFastCallEntry+0xfc

 f5c.000c74  87a81928 ffffb14f Blocked    nt!KiFastCallEntry+0xfc

                            [87893da0 msdtc.exe]

                            [87a959c0 firefox.exe]

 9bc.000a74  876cf718 ffffbb31 Blocked    nt!KiFastCallEntry+0xfc

                            [877a9020 plugin-containe]

                            [8773d258 wps.exe]

 a10.000dac  877bf248 ffffaef8 Blocked    nt!KiFastCallEntry+0xfc

 a10.000788  87479da8 ffffb481 Blocked    nt!KiFastCallEntry+0xfc

                            [877c3020 cmd.exe]

                            [8743da20 wmiprvse.exe]

TYPE mismatch for thread object at 874a2428

 fb4.------  NO ETHREAD DATA

 fb4.------  NO ETHREAD DATA

Unable to read _ETHREAD at fe50

                            [877b05b8 livekd.exe]

                            [87425800 kd.exe]

 f78.000718  87470258 ffffaed9 RUNNING    LiveKdD+0x32fd

 f78.000bd4  874a6020 fffff013 Blocked    nt!KiFastCallEntry+0xfc

Threads Processed: 658

0: kd>

将系统线程映射到一个设备驱动程序上!

使用PEsystem进程上双击,可以看到SRV.SYS有多个线程在运行,按下module可以看到描述

会话管理器windows\system32\smss.EXE是系统中第一个创建的用户模式进程

服务有三种名称:进程名,注册表名,services管理工具的显示名。

Windows的关键组件是什么机制在运行:核心组件机制:对象管理器和同步机制。




原文链接: http://blog.csdn.net/jaminwm/article/details/7237068

转载于:https://my.oschina.net/chen106106/blog/45191

chenqunan3231
关注
渗透攻防-深入了解Windows
该用户很懒,没有写简介。。。
07-29 1967
前言 本篇是基础教程,带大家了解Windows常用用户及用户组,本地提取用户密码,远程利用Hash登录到本地破解Hash。初步掌握Windows基础安全知识。 目录 第一节 初识Windows 第二节 Windows密码安全 第三节 利用Hash远程登录系统 正文 第一节 初识Windows 1.1、什么是Window Microsoft
深入理解Windows操作系统笔记3
夜澜偶作庄周梦 酒后聊为楚客狂
02-06 3281
X86/X64的页面错误异常号是0xe,页面错误:一个线程企图访问虚拟内存中没有定义的或者已经存在的页面时产生的异常。Windows支持的硬件体系结构允许最多可达256个IDT项。一台PC所能支持的中断IRQ数量是由该机器的中断控制器的具体设计决定的。由于大多数X86都依赖一个硬件i8259A可编程中断控制器(PIC)在单处理器系统上有15条中断线。0: kd> !idtDumping IDT:3
[笔记]深入解析Windows操作系统《一》概念和工具
二次元怪兽的博客
05-17 3627
文章目录前言1.1 Windows操作系统的版本1.2 基础概念和术语Windows API 前言 本章将介绍Microsoft Windows操作系统的关键概念和术语,比如: Windows API、 进程、 线程、 虚拟内存、 内核模式和用户模式、 对象、 句柄、 安全性和注册表等。 这些概念和术语将贯穿全书。 同时也会介绍一些可用来探查Windows内部的工具,比如内核调试器、性能监视器,以及来自Windows Sysinternals 的一些关键工具。 此外,还将说明如何以WDK (Window
深入理解Windows操作系统笔记4
数据库天地
02-09 1105
分发或者延迟过程中调用中断(DPC):但一个线程不能继续运行的时候,比如因为线程已经终止了或者它主动进入到等待状态,内核就会直接调用分发器,从而直接导致一个环境切换。然后有时候,内核检测已经深入到了许多层代码中了,这时候应该进行重新调度,在这个时候内核请求分发操作,但将它推迟到完成了当前的行为以后再进行,使用DPC软件中断是实现这种拖延的便捷方法。DPC赋予了操作系统一个能力:产生一个中断并且在内...
深入理解Windows操作系统笔记6
夜澜偶作庄周梦 酒后聊为楚客狂
02-24 7840
lkd> lm kvstart    end        module name804d8000 806e5000   nt         (pdb symbols)          c:\windows\symbols\exe\ntkrpamp.pdb    Loaded symbol image file: ntkrpamp.exe    Image path: ntkrpamp.exe
深入理解Windows操作系统笔记1
夜澜偶作庄周梦 酒后聊为楚客狂
02-02 5005
C:\Program Files>cd "Debugging Tools for Windows (x86)"C:\Program Files\Debugging Tools for Windows (x86)>dir 驱动器 C 中的卷没有标签。 卷的序列号是 18F6-A188 C:\Program Files\Debugging Tools for Windows (x86) 的目录2012
操作系统笔记、题型、知识点等
10-05
首先,操作系统笔记部分可能会涵盖以下几个核心概念: 1. **进程与线程**:进程是程序的执行实例,每个进程都有独立的内存空间。线程是进程内的执行单元,共享同一内存空间,使得多任务并行执行成为可能。理解它们...
操作系统-第一章-操作系统引论-飞书笔记
06-19
操作系统是计算机系统的核心组成部分,它负责管理和控制计算机硬件及软件资源,为用户提供一...在后续章节中,我们将更深入地探讨操作系统如何实现这些功能,包括进程管理、内存管理、文件系统、I/O管理等方面的内容。
财务自由操作系统课程十周课程笔记 财富自由课程的笔记第八周.zip
最新发布
06-05
1. **操作系统**:这里的“操作系统”并非指传统的计算机操作系统,如Windows或Linux,而是指个人财务管理的操作系统。这包括如何制定财务计划,理解收入与支出的关系,设定和追踪财务目标,以及如何通过有效的投资...
深入解析Windows操作系统.第5版.pdf
04-13
深入解析Windows操作系统 第五版 英文版的
深入解析WINDOWS操作系统(第4版).pdf
12-04
内容简介 《深入解析:Windows操作系统》(第4版)是著名的操作系统内核专家Mark Russinovich和David Solomon撰写的Windows操作系统原理的最新版著作,全面和深入地阐述了Windows操作系统的整体结构以及内部工作细节。本书针对 Windows Server 2003、Windows XP和Windows2000做了全面更新,通过许多练习实验让你直接感受到Windows的内部行为。另外,本书还介绍了一些高级诊断技术,以便使你的系统运行得更加平稳和高效。无论你是开发人员还是系统管理员,你都可以在本书中找到一些关键的、有关体系结构方面的知识,通过这些知识你可以更好地做系统设计、调试,以及性能优化。 《深入解析:Windows操作系统》(第4版)全书内容丰富、信息全面,主要包括的Windows操作系统深度知识有:理解Windows的关键机制,包括系统服务分发和调度机制、启动和停机,以及注册表;挖掘Windows的安全模型,包括访问控制、特权和审计;利用内核调试器和其他的工具来检查内部系统结构;检查与进程、线程和作业相关的数据结构和算法;观察Windows如何管理虚拟内存和物理内存;理解NTFS的操作和格式,诊断文件系统访问问题;从上往下查看 Windows的网络栈,包括映射、API、名称解析和协议驱动程序;诊断引导问题,执行崩溃分析
深入解析Windows操作系统(第6版)
07-30
中文名: 深入解析Windows操作系统 (第6版, Part 1) 原 名: Windows Internals(6) 作 者: Mark E. Russinovich David A. Solomon Alex Ionescu 内容介绍: 本书由国际知名的内部专家团队内部的指导。本书为Windows 7和Windows Server 2008 R2的架构全面更新,本书提供了这些系统设计的关键架构、见解、调试及性能测试,让我们一起行动一起动手实验体验到Windows的内部行为的第一手资料。 让我们来看看能够学到些什么: 1.了解如何工作的核心系统和管理机制 2.探索内部系统的数据结构,使用内核调试工具 3.在Windows安全模式里面去看看它是如何授权数据的访问 4.了解Windows如何管理物理和虚拟内存 5.从上到下参观Windows网络堆栈 6.文件系统访问的问题和系统引导问题的疑难解答 7.学习如何分析崩溃 ………………
深入解析Windows操作系统(一)概念和工具
06-23 1349
1 关于Windows NT和Windows 95 Windows NT:Microsoft Windows NT(New Technology)是Microsoft在1993年推出的面向工作站、网络服务器和大型计算机的网络操作系统,也可做PC操作系统。它与通信服务紧密集成,基于OS/2 NT基础编制。OS/2由微软和IBM联合研制,分为微软的Microsoft OS/2 NT与IBM的IBM
随笔分类 - 深入解析Windows操作系统笔记
snowfoxmonitor的专栏
06-16 244
https://www.cnblogs.com/Amaranthus/category/578353.html
深入解析WINDOWS操作系统
何波的BO
07-18 1150
        今天开始正式研究WINDOWS操作系统内核了,每天还要练习10道数据结构和算法方面的题目我还会把练习的题目发上来,给大家评评,以此来勉励自己,希望给大家有所帮助,     也希望自己每天可以进步一点     虽然今天国奥 VS 国际米兰0:3 输了,但我想,他们今天肯定学到了很多东西吧    明天 中国小组赛对 物质别可是炭队.  打平是个眼子啊 ,我猜明天
深入解析Windows操作系统笔记6)
flukeshen的博客
01-12 392
  一个EPROCESS块表示一个进程,位于系统空间,但EPB(环境进程块)位于用户空间中,因为其中有些信息需要用户模式的代码来修改。   EPROCESS的第一个成员为KPROCESS(内核进程块),内核进程块中存放着与调度有关的信息。   与进程有关的内核变量:   PsActiveProcessHead 进程块的列表头   PsIdleProcess 空闲(Idle)进程块   PsIni...
深入解析Windows操作系统笔记3)
flukeshen的博客
01-04 1263
  Windows提供的机制有:   陷阱分发,包括中断、延迟过程调用、异步过程调用、异常分发,以及系统服务分发;   执行体对象管理器;   同步,包括自旋锁、内核分发器对象,以及等待是如何实现的;   系统辅助线程;   其他的机制,如Windows全局标志;   本地过程调用;   内核事件追踪;   Wow64。   dt nt!_ktrap_frame查看陷阱帧(trap frame)...
2020操作系统学习笔记Windows 7与Windows 10/Server的区别与功能概览
本文档是关于2020年8月11日在北京市...总结来说,这篇学习笔记涵盖了Windows操作系统的历史、不同版本的特点、图形界面的进化以及基本的系统管理概念,对于深入理解Windows操作系统的核心特性和工作原理非常有价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值