加密与解密(第四版)第7章 Windows内核基础

最新推荐文章于 2024-04-09 13:55:10 发布
最新推荐文章于 2024-04-09 13:55:10 发布
阅读量433 收藏
点赞数
分类专栏: 加密与解密笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shang_cm/article/details/110873446
版权

内核理论基础

1. 权限级别
系统内核层:ring0,应用层:ring3
CPU存在4个级别由高到底:R0(内核)、R1(驱动)、R2(驱动)、R3(应用)
操作系统的设计者为了简单,并未使用R1,R2

XP系统体系结构图:

2. 内存空间布局
x86系统内存布局图:

x86系统上最大寻址空间为4GB
Windows内存共包含4个部分:NULL空间,应用层空间,非法区域,内核空间

x64系统内存布局图:

x64系统上最大寻址空间理论上为16PB(2^64次方),但根本用不完
Windows最多支持2^44次方寻址空间,16TB
Linux最多支持2^64次方寻址空间,256TB

3. Windows与内核启动过程
包含以下阶段:

  1. CPU启动自检阶段
    打开电源时,CPU从BIOS中载入自检指令,执行这些指令进行自检操作,同时在屏幕上显示信息

  2. 初始化启动阶段
    自检完成后,根据CMOS的设置,BIOS加载启动盘,将主引导记录MBR中的引导代码载入内存,并执行。MBR中的引导代码搜索MBR中的分区表,找出活动分区,将第一个扇区的中的引导代码载入内存,第一个扇区的中的引导代码检测当前使用的文件系统,查找ntldr文件,找到之后启动它,此后BIOS将控制权交给ntldr,由ntldr完成操作系统的启动工作(Windows 7使用的是Bootmgr)

  3. Boot加载阶段
    对ntldr进行如下设置
    ①设置内存模式。如果是x86处理器,并且是32位系统,则设置“32-bit flat memory mode”;如果是x64处理器,并且是64位操作系统,则设置为64位内存模式
    ②启动一个简单的文件系统,以定位boot.ini、ntoskrnl、Hal等启动文件
    ③读取boot.ini文件

  4. 检测和配置硬件阶段
    这个阶段会检查和配置一些硬件设备,如系统固件、总线和适配器、显示适配器、键盘、通信端口、磁盘、输入设备、并口、ISA总线上运行的设备等

  5. 内核加载阶段
    ntldr将首先加载Windows内核Ntoskrnl.exe和硬件抽象层HAL。HAL会对硬件底层的特征进行隔离,并为操作系统提供统一的调用接口。接下来ntldr从注册表的

    HKEY_LOCAL_MACHINE\System\CurrentControlSet

    键下读取这台机器安装的驱动程序,然后依次加载驱动程序。初始化底层设备驱动,在注册表的

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

    键下查找”Start“键的值为0和1的设备驱动
    Strat键的值可以为0、1、2、3、4数值越小,启动越早
    0:内核刚刚初始化,此时加载的都是和系统核心有关的重要驱动程序
    1:稍微晚一点
    2:从登录界面出现时开始加载
    3:在需要的时候手动加载
    4:禁止架子啊

  6. Windows会话管理启动
    当驱动程序加载完成后,内核会启动会话管理器(smss.exe),是操作系统第一个创建的用户模式进程,作用如下:

    • 创建系统环境变量
    • 加载win32k.sys,它是Windows子系统的内核模式部分
    • 启动csrss.exe,它是Windows子系统的用户模式部分
    • 启动winlogon.exe
    • 创建虚拟内存页面文件
    • 执行上次系统重启前未完成的重命名工作(PendingFileRename)

  7. 登录阶段
    Windows子系统启动的winlogon.exe系统服务提供对Windows用户的登录和注销的支持

    • 启动服务子系统(services.exe),也叫服务控制器SCM
    • 启动本地安全授权LSA过程(lsass.exe)
    • 显示登录界面

Tips:Windows 7和Windows xp启动过程的区别?

  • BIOS通过自检后,将MBR载入内存并执行,引导代码栈到启动管理器Bootmgr
  • Bootmgr寻找活动分区boot文件夹中的启动配置数据BCD文件,读取并组成相应语言的启动菜单,然后再屏幕上显示多操作系统选择画面
  • 选取Windows 7后,Bootmgr就会读取操作系统文件windows\system32\winload.exe,并将控制权交给winload.exe
  • winload.exe加载Windows 7的内核、硬件、服务等,然后加载桌面等信息,从而启动整个Windows 7系统

Tips:BIOS+MBR与UEFI+GPT的区别?
BIOS+MBR是传统的启动方式,磁盘逻辑地址LEA是32位的,最多支持2TB的磁盘。
UEFI是BIOS的替换方案,本身相当于一个微型的操作系统,磁盘逻辑地址LEA是64位的。UEFI具有文件系统的能力,能够直接读取FAT分区中的文件。UEFI下不需要主引导记录,不需要活动分区,不需要任何工具,只要将安装文件复制到一个FAT32分区或U盘中,通过这个分区或U盘即可安装和启动Windows

直接在UEFI环境下运行的程序以.efi结尾

4. Windows R0与R3通信

本章后面的部分目前无法看懂,需要看完《windows内核编程》才能看懂

shang_cm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
无痕注入dll_R0级驱动注入与隐藏注入dll
weixin_39856803的博客
12-19 2045
' ,sX95r:.' s&@@@@@@@@@@@@@G;' i@@@@@@@@@@@@@@@@@@@&,' r@@@@@@@@@@...
寒江独钓-Windows内核安全编程(高清完整).part4
01-04
第7章 文件系统的过滤与监控 162 7.1 文件系统的设备对象 163 7.1.1 控制设备与卷设备 163 7.1.2 生成自己的一个控制设备 165 7.2 文件系统的分发函数 166 7.2.1 普通的分发函数 166 7.2.2 文件过滤的快速IO分发函数...
Ring0和Ring3权限级
liujiayu2的专栏
05-27 5642
现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。   Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0、R1、R2、R3)。R0层拥有最高的权限,R3层拥有最低的权限。按照Intel原有的构想
R0进程保护驱动源码_读写驱动_保护进程_R0进程保护驱动源码_zulu5fi_R0驱动读写
03-25
R0进程保护驱动源码 读写游戏内存,可以读写任意游戏进程信息,居家旅行必备工具
【2023最新】黑客入门教程|三分钟手把手教会,非常简单
wangluoanquan111的博客
06-18 1523
站在计算机角度上解释,黑客就是去寻找网站、系统、软件等漏洞,并利用漏洞来取得一些数据或达到控制,让对方程序崩溃等效果。刚入门的黑客大部分从事渗透工作,而渗透大部分属于web安全方向。因此换个淳朴点的名字称呼他们就是 —— 安全工程师。是不是一下子就没那么神秘了?不过,所谓职称仅仅是代号。我认为黑客真正的魅力在于他们对于代码的痴迷与热爱,对自己能力近似于傲慢的自信以及打破陈规的创造力与勇气。当然不包括触犯法律。
计算机网络-网络层
weixin_55460778的博客
04-17 1391
网络层 1.功能 把分组从源端传送到目的端,网络层传输单位是分组 路由选择和分组转发 异构网络互联 拥塞控制 开环控制 闭环控制 拥塞控制:如果一个网络上的所有的节点都来不及接收分组,从而要丢弃大量的分组,此时网络就处于拥塞控制状态 2.数据交换方式 1.电路交换 场景:双方打电话,独占一条信道 2.报文交换 报文:源应用发送的信息整体。例如:发送一个pdf文档出去,那么这个pdf文档就是一个报文 分组:把一个较大的数据块分割成几个较小的数据块 1.数据报方式 无连接服务、每个分组携带目
内核态权限和用户态权限
惜兰blog
07-01 659
内核态权限和用户态权限 系统调用 这个可以看一下系统调用的过程,应用代码通过int 80发起对系统调用,通过中断处理后执行对应的系统函数,这时候的权限也变了,即内核态。比如cpu有0,1,2,3四种权限等级,有些操作是0等级才能做的,linux使用0和3两种,就是内核态和用户态。简单来说,就是低权限的应用代码通过高权限的操作系统去做某些事情,系统提供的入口就是系统调用。 这是处理器的两种工作模式。差别就是内核模式下什么指令都可以执行,用户模式下有些指令一执行就会引发内部中断。内核模式、用户模式,这只是个简单
vc++ 应用源码包_1
09-15
Windows核心编程(第五)随书源代码 vc-ftp 多线程操作多文件传输的操作。 VC下载者 源码 非常简单的一个实例,使用了URLDownloadToFile下载文件。 VC断点续传源代码 从fnMyDownload开始,程序首先解析输入的...
信息安全书籍推荐.doc
06-24
8. 深入解析windows操作系统(第四):该书籍提供了windows操作系统的深入解析,帮助读者了解windows操作系统的内部机理和安全机制。 知识点:windows操作系统、操作系统安全 9. Windows 内核原理与实现:该书籍...
windows内核基础
weixin_43200028的博客
03-26 3797
windows分层模型 硬件抽象层屏蔽了硬件实现功能的细节。 IRP为内核层重要的数据结构。 物理地址和虚拟地址 x64的cpu仅仅支持64位地址中的前48位。其中若虚拟地址为内核,则前16位为ffff;若虚拟地址为用户模式,则前16位为0000。 用户能看到的所有地址都是虚拟地址,CPU当中的寄存器CR3,保存了页表基地址的物理地址 虚拟地址转换物理地址 Windows Token 访问令牌(Access Token)是WIndows操作系统用于描述进程、线程安全上下文的对象。不同用户登录OS后
WINDOWS内核学习步骤
weixin_30552811的博客
11-09 684
(一)内核驱动入门 1.驱动级HelloWorld 2.驱动框架理解 (二)内核开发基础 3.驱动级文件与注册表操作 4.中断运行级别 5.同步与多线程 6.内核数据结构 7.应用程序与驱动通信与弹窗 (三)内核高级技术 8.DKOM 9.HOOK/DKOH 10.回调(进程/线程/模块/注册表等) ...
windows核心编程》第3章 内核对象
HuanBianCheng27的博客
10-22 598
每个进程创建的内核对象是一个索引,通过这个索引会在每个进程的内核对象表中找到这个内核对象的内存块,同一个内核对象在不同进程中的句柄是不一样的内核对象用一个句柄来标识。内核对象的内存块位于操作系统的内核空间,应用程序不能直接操作内核对象,需要系统给定的函数来操作内核对象的结构:公用部分(安全描述符、计数)和个性部分windows还没人登录的时候就会创建一个session0会话,windows服务程序在session0中。每当有一个用户登录就会创建一个session。
Windows内核是什么,如何保障内核安全
最新发布
HoewDec的博客
04-09 1097
LINUX是开源的,代码随时可见,原来内核里大部分也是C语言(而不是以前想象的汇编),同时内核似乎也就那样,不像之前想象的那么神秘,原来编译内核也就是比编译个普通程序稍微麻烦点,用的时间长点,原理编译内核用普通的C编译器就可以。2、中间的一层的是内核层,有时候也叫微内核(micro-kernel),这一层包含了基本的操作系统原语和功能,如进程和线程的调度,中断和异常的处理和同步进制等等。四、监控和审计系统活动:通过安全日志和审计工具来监控系统的活动,并及时发现和应对安全事件,以确保系统的安全性。
Win32k(3) R0 to R3,键盘鼠标输入
weixin_30838873的博客
03-26 210
第三部分 R0 to R3这部分有教主非常精彩和实用的分析,我就不瞎说了。http://bbs.pediy.com/showthread.php?t=104918r3 tor0是常规系统调用倒过来中断或者sysenter的东西:http://hi.baidu.com/andriy_aolala/blog/item/0ce3ebbf137db11a18d81fac.html...
windows驱动开发第13课(R3与R0通信之读取数据)
weixin_42655748的博客
12-13 1018
windows驱动开发第13课(R3与R0通信之读取数据),为写入数据和读取数据封装独立函数。
Windows驱动 - R3-R0事件交互
qq726232111的博客
12-25 667
0x00 函数 ObReferenceObjectByHandle //通过句柄获取内核资源 ObDereferenceObject //释放资源 0x01 代码 桌面程序 #include <windows.h> #include <stdio.h> #define IOCTL_CREATE_EVENT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x999, METHOD_BUFFERED , FILE_READ_DATA | FILE...
Windows内核编程R0与R3通信
輚至消亡
03-20 1928
直接设备读写 其原理是锁定用户空间内存(这解决了分页内存置换导致缺页异常的问题)并将其映射到内核空间地址,直接对该内核空间地址进行写入即可,由于进程的内核空间是共享的。所以属于任何进程的线程都可以写入。 注意的点: 1. 要为设备添加DO_DIRECT_IO标志 2. 为R3下ReadFile和WriteFile派遣函数时获取对对应传入参数 a. 其中WriteFile的用户输入内存地址和ReadFile的设备输出地址通过MmGetSystemAddressForMdlSafe函数锁定IRP.
Windows驱动开发第10课(R3与R0通信交换数据第一节)
weixin_42655748的博客
11-28 1443
密码学基础加密解密原理
"该资源为一份关于加密解密的密码学基础PPT,涵盖了密码学的基本概念,如明文、加密、密文、密钥、解密和破译,以及相关的加密算法和解密算法。同时,还讨论了信息安全技术的三个主要领域:系统安全、信息安全和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值