NT驱动开发学习笔记004

 

 

题外话：

“我什么时候能长胖一点？”午觉刚醒，我看着自己竹竿似的手臂轻笑道。今天下午还是悠闲点，了解一下一些windows系统内核驱动的概念吧，操作固然重要，概念真的是不能少的。

 

NT驱动开发学习笔记四2011.05.06

 

基本概念：

Windows两个模式：内核模式（Kernel Mode）和用户模式（User Mode）。对比起Linux系统的单一内核，这样Linux的速度就会很快，可是单一内核的耦合性太高了。

CPU的4个特权层(i386)：分别是Ring0 到 Ring3，其中Ring0最高，Ring3最低。

 

Windows总体架构：

用户模式：应用程序 -> WIN32 子系统 -> Native API

内核模式：系统服务函数 -> 执行体组件/驱动程序 -> 内核 -> 硬件抽象层 -> 具体硬件

用户模式到内核模式：Native API -> 系统服务函数

执行体组件：I/O管理器、对象管理器、进程管理器、虚拟内存处理器、配置管理器等其。

 

应用程序与WIN32子系统：

WIN32子系统：在Windows设计者为了把其他操作系统方便移植到windows上，设计了子系统（所以说什么windows移植性差的，别人开发Windows这么聪明没想到么?）。

应用程序在编译的时候，会用/subsystem:windows指明是WIN32子系统的应用程序。

 

Windows API分为三类：

USER函数：管理窗口、菜单、对话框和控件

GDI函数：这类函数在物理设备执行绘图操作(Graphics Device Interface)

KERNEL函数：管理非GUI(Graphics User Interface)资源，系统服务功能

 

WIN32子系统从用户模式到内核模式的实现：

USER32.DLL/GDI32.DLL ->  WIN32K.SYS（WIN32子系统的内核实现,Kernel Mode）

KERNEL32.DLL -> NTOSKRNL.EXE（WIN32子系统的内核实现,Kernel Mode）

 

Native API：

如架构所视，大部分WIN32子系统的API，都是通过Native API 实现的，一般看来，Native API都是win32 API 前面加上一个 Nt。Native API 的 dll都是在 Ntdll.dll 中实现的。不同的NT（2000:NT5.0，XP:NT5.1，2003:NT5.3）系统的Native API都有区别的，所以应用程序多使用WIN32 API。

 

 

 

Windows系统服务：

Native API 从用户模式穿越到内核模式(之前好流行穿越啊，各种穿越，跑题了)，从而调用系统服务。这个过程是通过软中断完成的，Windows2000下通过“int 2eh”，XP下通过“sysenter”，软中断会将Native API 中的参数和系统服务的参数一同传进内核模式，不同的Native API 会对应不同的服务号，就是在SSDT表中的位置。其中从SSDT表中查到的Nt函数地址是在 ntoskrnl.exe里的（nt!加上函数名）。

 

执行体组件：

执行体组件的分成各个组件：

①对象管理程序：windows 用数据结构来构造“对象”，但是这种“对象”中，不像c/c++ 中说的结构体全部都是公有的，这种“对象”其中也有一些“私有”的成员，必须通过Windows体统的一些例程，才能访问，这些例程就像“不在类内的公有成员函数”(比喻比喻)。

 

②进程管理程序：用于管理进程的创建和终止，但是进程中的线程却是由内核负责的，进程相对来说只是线程的一个容器。

 

③虚拟内存管理程序：在CPU的MMU（Memory Management Unit）的协助下完成的内存映射技术。进程有4GB的虚拟内存，其中2GB是用户模式的，其他2GB是内核模式的。Windows中所有进程的内核模式下的虚拟内存的映射方式是完全一样的。

 

④I/O管理器：I/O管理器负责发起I/O请求，并且管理这些请求，通过IRP，应用程序就能和驱动程序通信了。

 

⑤配置管理程序：用于配置软件和硬件的信息，就用注册表(Registry)这个数据库来保存这个数据。

 

硬件抽象层：

硬件抽象层是使得对硬件的操作进行了抽象，方便于对硬件进行抽象。