用户内核模式切换(Windows内核学习笔记)

最新推荐文章于 2021-06-28 11:44:28 发布
最新推荐文章于 2021-06-28 11:44:28 发布
阅读量837 收藏 3
点赞数 2
分类专栏: Windows开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42253797/article/details/104938885
版权
本文介绍了Windows中用户层到内核层的模式切换,包括通过int 0x2e自陷指令和sysenter/sysexit快速调用。详细讲解了自陷调用的参数传递、寄存器保护,以及sysenter指令如何提高执行效率,深入剖析了系统调用的过程。
摘要由CSDN通过智能技术生成

Inter x86将处理器执行模式分为4层环,我们平时说的用户层程序处于3环(Ring3),内核层代码处于0环(Ring0),而Ring3的地址空间是各进程之间独立的,Ring0层是进程之间共享,不同进程会由进程上下背景文的切换来实现对Ring0层访问。Windows中并没有使用Ring1和Ring2层。
我们的用户层进程通过系统服务来完成我们需要完成的工作,而系统服务是在内核层实现的,那么就需要CPU就要从Ring3层的调用切入Ring0层,那么这个过程是如何实现的?
进入内核一般有中断、异常、自陷三种手段,而如果是我们平时函数正常系统调用,会通过自陷指令(int 0x2e)让CPU主动进入系统空间,对于应用程序而言,相当于执行了一次函数调用。还有一种称为快速调用约定的sysenter和sysexit指令,也是调用系统服务,并为此配备了SYSENTER_CS_MSR、SYSENTER_EIP_MSR、SYSENTER_ESP_MSR三个MSR(Mode Specific Register)寄存器。
接下来说一说这二者分别是怎么进行执行的,首先来说传统的Windows系统调用自陷指令int 0x2e:
以经典的ReadFile函数(因为我看的书是拿这个函数举例的)来进行解释,我们调用一个WinAPI ReadFile函数,其位于kernel32.dll的导出函数中,在用户层这个函数内部调用的是ntdll下的Nt系列的函数NtReadFile,该函

了解本专栏 订阅专栏 解锁全文 超级会员免费看
KookNut39
关注
专栏目录
订阅专栏
WIndows内核学习笔记:分页机制——PAE分页模式
weixin_38526180的博客
07-21 3245
Chapter 4 Paging 4.1 分页模式和控制位 分页控制有关的寄存器 CR0 标志位:WP(bit 16)、PG(bit 31) CR4 标志位:PSE(bit 4)、PAE(bit 5)、PGE(bit 7)、PCIDE(bit 17)、SMEP(bit 20)、SMAP(bit 21)、PKE(bit 22)、CET(bit 23)、PKS(bit 24) IA32_EFER MSR 标志位:LEM(bit 8)、NXE(bit 11) EFLAGS 标志位:AC(
Linux用户模式内核模式
01-09
MS-DOS等操作系统在单一的CPU模式下运行,但是一些类Unix的操作系统则使用了双模式,可以有效地实现时间共享。在Linux机器上,CPU要么处于受信任的内核模式,要么处于受限制的用户模式。除了内核本身处于内核模式以外,所有的用户进程都运行在用户模式之中。   内核模式的代码可以无限制地访问所有处理器指令集以及全部内存和I/O空间。如果用户模式的进程要享有此特权,它必须通过系统调用向设备驱动程序或其他内核模式的代码发出请求。另外,用户模式的代码允许发生缺页,而内核模式的代码则不允许。   在2.4和更早的内核中,仅仅用户模式的进程可以被上下文切换出局,由其他进程抢占。除非发生以下两种情
理解Windows内核模式用户模式
热门推荐
06-19 1万+
1、基础 运行 Windows 的计算机中的处理器有两个不同模式:“用户模式”和“内核模式”。根据处理器上运行的代码的类型,处理器在两个模式之间切换。应用程序在用户模式下运行,核心操作系统组件在内核模式下运行。多个驱动程序在内核模式下运行,但某些驱动程序在用户模式下运行。 当启动用户模式的应用程序时,Windows 会为该应用程序创建“进程”。进程为应用程序提供专用的“虚拟地址空间
操作系统_处理器(第二章)
李哪托的博客
09-12 604
这里写目录标题一.运行机制1.1 特权指令和非特权指令1.2用户态和核心态1.3内核程序和应用程序操作系统中的那些功能应由内核程序实现?二.操作系统内核三.中断和异常3.1中断机制的诞生3.2中断的概念和作用3.3中断的分类3.4外中断的处理过程 学习来自:https://www.bilibili.com/video/BV1YE411D7nH?p=4 一.运行机制 1.1 特权指令和非特权指令 什么是指令? 一条高级语言的代码翻译过来可能会对应多条指令 所以 “指令“就是CPU(处理器)能识别,执行的最基
内核模式用户模式切换
内心的宁静带给我们力量。
01-22 3489
32位x86系统,每个进程的空间是4GB,即地址0x00000000到0xFFFFFFFF。 为了高效调用,Windows会把操作系统的内核数据和代码映射的系统中所有进程的进程空间中。因此4GB空间被划分为两个区域:用户空间和系统空间,默认大小为各2GB。 为了保护映射到进程空间的系统代码和数据,Windows提供了权限控制机制。也就是两种访问模式用户模式内核模式。 处理器在硬件一级保证
windows内核开发学习笔记二十五:两种内核模式切换的安全检测
jyl_sh的专栏
06-24 446
前面几篇文章已经介绍了Windows的架构、运行模式、核心架构等,本篇接着介绍windows的两种运行模式切换等方面的原理和技术。从上一章节可以可以知道,在内核层最上面的是执行体API,这一层负责接收来自应用层的各种程序的访问,而且是绝大部分是通过Ntdll.dll桥来调用的。因为应用程序是运行在用户模式下的,为了保证这种调用和访问的健壮性,抵御来自用户模式的错误调用或者恶意攻击,必须保证执行体API参数的有效性。这就是说要保证这些参数值的合规性,若是指针参数,还要保证指针所指的内存的有效。...
jz2440学习笔记 本仓库内容 jz2440学习笔记 思维导图 ARM体系架构学习 Linux内核驱动学习
最新发布
07-12
2. **处理器模式**:ARM处理器有多种工作模式,如用户模式、系统模式、中断模式等,理解这些模式及其切换机制。 3. **寄存器结构**:熟悉通用寄存器、程序计数器、状态寄存器等,并了解它们在不同模式下的使用。 4...
学习笔记 | 用户态到内核态的转化原理
大虎牙的博客
06-28 5222
用户态到内核态的转化原理 1)用户切换内核态的3种方式 1、系统调用 这是用户进程主动要求切换内核态的一种方式,用户进程通过系统调用申请操作系统提供的服务程序完成工作。而系统调用的机制其核心还是使用了操作系统为用户特别开放的一个中断来实现,例如Linux的ine 80h中断。 2、异常 当CPU在执行运行在用户态的程序时,发现了某些事件不可知的异常,这是会触发由当前运行进程切换到处理此。异常内核相关程序中,也就到了内核态,比如缺页异常。 3、外围设备的中断 当外围设备完成用户请求的操作之后
ucosii内核学习笔记.zip
07-31
这篇“UCOSII内核学习笔记”文档,无疑是一个深入理解并掌握UCOSII操作系统的宝贵资源。 首先,UCOSII的核心概念是任务(Task)。任务是UCOSII中执行的基本单元,每个任务都有自己的堆栈和独立的执行路径。任务之间...
windows内核开发学习笔记三十六:内核概念之内核模式
jyl_sh的专栏
06-28 538
windows内核中的各个组件并非单纯的独立模块,相反地组件之间不可避免地包含着复杂的依赖关系,甚至存在着交叉调用。
5.用户APC执行过程
My classmates
10-25 1767
当产生系统调用、中断或者异常,线程在返回用户空间前都会调用, _KiServiceExit函数,在_KiServiceExit会判断是否有要执行的用户APC,如果有则调用KiDeliverApc函数(第一个参数为1)进行处理。 执行用户APC时的堆栈操作 处理用户APC要比内核APC复杂的多,因为,用户APC函数要在用户空间执行的,这里涉及到大量换栈的操作: 当线程从用户层进入内核层时,要保留原来...
《重要》从用户模式切换内核模式的完整过程分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-29 2394
Home > 《重要》从用户模式切换内核模式的完整过程分析 《重要》从用户模式切换内核模式的完整过程分析 AloneMonkey 2014年7月20日 0 Windows定义了两种访问模式用户模式内核模式。应用程序代码运行在用户模式下,操作系统代码运行在内核模式下。 内核模式对应处理器的最高权限级别。在内核模式下执行的代码可以访问所有资源并可以执行所有特权指令。
Windows用户/内核模式切换
maomao171314的专栏
12-23 1812
1. Windows用户模式-内核模式切换 Windows用户模式内核模式的交互流程,如图: 以CreateFile 为例,应用程序调用kernel32.dll 的CreateFile来创建文件,CreateFile调用ntdll.dll的存根函数NtCreateFile,然后直接将创建文件的请求转交给内核的NtCreateFile。为了转到内核,ntdll.dll 的KiIntSystemCall或KiFastSystemCall 执行”int 2e”或sysenter指令,切换内核模式下.
内核模式用户模式
vinter_he
04-02 1万+
内核模式用户模式 tags: 内核模式 用户模式 总是发现在要讲解一个问题的时候不得不去先讲解另一个问题。比如要想彻底弄明白ULT和KLT,则需要先明白他们工作的模式。ULT是不需要在内核模式用户模式之间切换的,KTL是需要的。所以不得不先说说内核模式用户模式。 先来引导一下: 用户模式内核模式区分主要是因为,为了计算机系统的正常安全运行,有些硬件资源(比如中断装置)和特...
Windows核心编程_FS段寄存器
17岁boy的博客
06-21 4558
Windows核心编程_FS段寄存器FS段寄存器Windows用来存储一些进程信息的,FS段的首地址是存储这些进程信息的首地址:在内核态FS指向GDT表的:0x30地址, 在用户态FS=0x3B也就是说当切换用户态时,操作系统会把进程下正在执行的线程的某些信息写入到0X3B为起始地址的空间里,内核态时候也一样,操作系统也会写入一些关于内核程序的相关信息到0x3B里!由于进程的不同进程信息也不同,...
Windows系统调用中的现场保存
songfei_dream的专栏
10-20 1336
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的现场保存   我们之前介绍过三环进零环的步骤,通过中断或者快速调用来实现。   但是我们是否考虑过CPU从三环进入零环时,其三环的寄存器该如何保存。   这一篇文件就来介绍其系统调用中的(三环)现场保存的问题。 一、几个重要的...
系统服务调用与异常分发
Returns' Station
05-18 4877
系统服务的调用过程 一、CPU的内部支持 1. int 0x2e 进入 iret返回 (中断门切换) ★.利用中断进入内核,0x2e对应的是KiSystemService ★.每个处理器有一个任务环境,初始化时系统会给CPU在GDT中构造TSS段,并且记录在KPCR中,其中记录着内核栈的地址。线程切换的时候会把处理器的TSS.ESP0 设置为当前的内核栈地址    所以r
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

KookNut39

感谢您请我喝咖啡哈哈哈哈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值