windows内核基础

最新推荐文章于 2024-04-09 13:55:10 发布
最新推荐文章于 2024-04-09 13:55:10 发布
阅读量3.7k 收藏 26
点赞数 2
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43200028/article/details/123751420
版权

windows分层模型

在这里插入图片描述
硬件抽象层屏蔽了硬件实现功能的细节。
在这里插入图片描述
IRP为内核层重要的数据结构。

物理地址和虚拟地址

  • x64的cpu仅仅支持64位地址中的前48位。其中若虚拟地址为内核,则前16位为ffff;若虚拟地址为用户模式,则前16位为0000。
  • 用户能看到的所有地址都是虚拟地址,CPU当中的寄存器CR3,保存了页表基地址的物理地址
  • 虚拟地址转换物理地址
    在这里插入图片描述

Windows Token

访问令牌(Access Token)是WIndows操作系统用于描述进程、线程安全上下文的对象。不同用户登录OS后都会创建一个Access Token,用户在创建进程、线程时这个Token会被不断复制。

OS通过进程、线程的Token来辨识特权信息。
在这里插入图片描述

Windows体系结构

NT架构
(Windows NT架构,WIn10的环境子系统发送变化了)

NTDLL.DLL:

  1. 将用户模式的请求转译为内核模式的服务
  2. 在这一层,处理器环境切换,如Context Switch、sysEnter/sysExit

子系统DLL:
包含Kernel32.dll、Advapi32.dll、User32.dll、Gdi32.dll等,都是核心windows子系统的dll

Ntoskrnl.exe:执行体和内核

win32k.sys:windows子系统的内核模式部分,(GUI相关,如窗口管理器、图像设备结构GDI等)
在这里插入图片描述

用户程序与系统交互方式:

在这里插入图片描述
在这里插入图片描述

三种方式:

  1. 用户程序通过子系统DLL,直接调用到执行体提供的函数
  2. 用户程序通过子系统调用到Win32k.sys (win32 User/GDI部分),直接从用户模式切换到内核模式
  3. 通过环境子系统调用到内核,需要4次环境切换

I/O管理器

Windows把各种I/O请求(网络IO、磁盘IO等)等抽象成了IRP结构I/O管理器将IRP分发给对应的驱动程序,一个驱动程序处理完后,通过I/O管理器将IRP传递给下一个驱动程序或者返回。
在这里插入图片描述
(NtReadFile()可以是同步IO或者是异步IO,由用户决定)

Windows安全性

在这里插入图片描述
内核模式下有一个安全引用监视器。
用户模式下有其他安全引用组件:

  • WinLogon:windows中负责登录的组件
  • LSASS:负责本地安全策略管理,对活动目录管理、对SAM服务器(含账户数据、用户口令)管理

其他

基本工作方式
在这里插入图片描述

常用工具
在这里插入图片描述
在这里插入图片描述
可以通过process monitor 查找文件句柄被那个进程占用,然后kill对应进程便可获得该文件句柄。

qiu_77
关注
  • 2
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
(学习笔记-系统结构)Linux内核windows内核
dx1313113的博客
07-27 805
内核,包含多个模块,整个内核像一个完整的程序微内核,有一个最小版本的内核,一些模块和服务则由用户态管理混合内核,是宏内核和微内核的结合体,内核中抽象出了微内核的概念,也就是内核中会有一个小型的内核,其他模块就在这个基础上搭建,整个内核是一个完整的程序。Linux的内核设计采用了宏内核,Window的内核设计则是采用了混合内核。这两个操作系统的可执行文件格式也不一样,Linux可执行文件格式叫做ELF,Windows可执行文件格式叫做PE。
windows基础
Fnatic_的博客
08-16 346
常见的系统盘的目录 Perflogs 日志目录 Program Files 32位程序 Program Files(x86) 64位程序 ProgramData 数据 MyDrivers 自己装的一些驱动 Windows 系统的安装目录 用户 存放所创建用户的个人配置文件 C:\Users\Default.migrated\AppData\Roaming\Microsoft\...
WINDOWS内核对象及其理解
顺其自然~专栏
12-27 901
本文可以说是一个读书笔记。在参考了很多文章的基础上,然后作一些试验才完成本文的。内核对象是Windows内部的重要数据结构。通过本文可以大致了解Windows是如何组织众多的对象的。
Windows内核和Linux内核比较
荔园微风的博客
02-15 2397
Windows内核和Linux内核比较
Windows内核是什么,如何保障内核安全
最新发布
HoewDec的博客
04-09 973
LINUX是开源的,代码随时可见,原来内核里大部分也是C语言(而不是以前想象的汇编),同时内核似乎也就那样,不像之前想象的那么神秘,原来编译内核也就是比编译个普通程序稍微麻烦点,用的时间长点,原理编译内核用普通的C编译器就可以。2、中间的一层的是内核层,有时候也叫微内核(micro-kernel),这一层包含了基本的操作系统原语和功能,如进程和线程的调度,中断和异常的处理和同步进制等等。四、监控和审计系统活动:通过安全日志和审计工具来监控系统的活动,并及时发现和应对安全事件,以确保系统的安全性。
windows内核——基石
ma_de_hao_mei_le的博客
07-06 857
用户内存空间和内核内存空间之间的gap是为了避免不经意的越界而导致安全问题系统启动期间,会对所有的处理器进行初始化操作大部分初始化操作我们都不必了解,因为你了不了解都不影响你的逆向,毕竟你又不是开发操作系统的但是艺多不压身,多知道点东西总没有坏处处理器控制区PCR processor control region是一个结构体,每一个处理器都有一个对应的PCR结构体实例,它存储了CPU的重要信息在x86中,它包含了IDT的基地址和当前的IRQL(interrupt request level——中断请求等级
Windows内核开发
weixin_42284219的博客
04-09 1081
对话框是一种很特殊的窗口,体现在消息的处理上。
windows内核驱动编程基础
04-30
windows内核驱动编程基础 详细介绍windows内核驱动的编程技术
Windows内核安全与驱动开发
04-17
Windows内核安全与驱动开发的前身是《天书夜读——从汇编语言到Windows内核编程》和《寒江独钓——Windows内核安全编程》。与Windows客户端安全软件开发相关的驱动程序开发是本书的主题。书中的程序使用环境从32位...
Windows内核安全与驱动开发PDF版
08-14
开发篇介绍了在实际工作中可能遇到的各种开发需求的技术实现,包括:串口的过滤、键盘的过滤、磁盘的虚拟、磁盘的过滤、文件系统的过滤与监控、文件系统透明加密、文件系统微过滤驱动、网络传输层...-32汇编基础、IA...
Windows内核原理与实现1
08-04
总结来说,《Windows内核原理与实现1》第一章涵盖了Windows操作系统的基本架构、内核管理模式、系统服务、驱动程序机制以及启动过程,为读者全面了解Windows操作系统打下了坚实的基础。后续章节将在此基础上深入探讨...
探究Windows内核你知多少
热门推荐
博文视点(北京)官方博客
05-12 3万+
Windows内核      如上所述,现代操作系统的一个明显特征就是用户空间和系统空间的划分,从UNIX时代以来,人们一直把存在于系统空间的代码和数据的集合称为“内核(Kernel)”,因此内核是有明确边界的。空间的不同,或者说CPU运行模式(系统态和用户态)的不同,是不会被混淆的本质区别。可是,在Windows的术语中却不同,微软并不把系统空间的所有代码和数据的集合称为内核,而是把这里面的
Windows内核--子系统(3.5)
编程语言技巧经验分享
12-04 2438
子系统是用户层概念。在Windows内核之上,如果想要执行类UNIX应用程序,就是POSIX子系统,如果要类似OS/2环境,就是OS/2子系统。 如何能模拟出不同子系统呢? 一般需要子系统用户态应用程序和相关DLL支援。
windows内核初窥(一)------体系结构
loverwei的专栏
06-10 3180
    windows是一个非常优秀的OS,从今天开始,我要和大家共同分享windows给我们带来的快乐!本人只所以将自己的学习笔记与大家分享,一是让自己更深入的理解windows,再就是有什么疏漏之处,望大家指正!!来吧,开始我们的windows之旅!一,windows2000体系结构(1)系统模型   在大多数多用户的OS中,用户程序和系统程序是分开的---系统程序是一个比较高的优先级
Windows内核--源代码在哪里?(1.1)
编程语言技巧经验分享
11-02 2326
利用WinDbg调试Kernel, 可以得到内核数据结构,参照WRK源代码和深入解析Windows操作系统可以猜测到内核源码的可能长相,结合IDA等反编译工具和Windbg可以获取内核全貌。微软官方并不完全公开源代码, 想清楚Windows技术内幕,就需要逆向工具。大部分人能看到这篇帖子, 想必已经用过Windows系统多年了...
Windows内核--WRK和真实的Windows内核源代码差多少?(1.3)
编程语言技巧经验分享
11-05 1331
前面有提到WRK是微软官方公布的XP/Server 2003供学习和研究的内核源代码。WRK1.2究竟占据源代码的多少比例?
Windows内核--读懂源代码的特殊“标志“(1.4)
编程语言技巧经验分享
11-07 762
Windows内核代码严谨而富有逻辑,毕竟Kernel不是简单的Hello World,为了让代码更易于阅读和维护,加入了不少具有编译器特性和协助程序员的代码,同时对于错误和异常,内核必须合适处理,保证稳定和安全。
windows内核怎么学
03-01
学习Windows内核需要掌握以下几个方面的知识: 1. 操作系统基础知识:了解操作系统的基本概念、原理和功能,包括进程管理、内存管理、文件系统等。 2. C/C++编程语言:熟悉C/C++编程语言,因为Windows内核是用C/C++编写的,需要对指针、内存管理、数据结构等有一定的了解。 3. Windows体系结构:了解Windows操作系统的体系结构,包括用户模式和内核模式的区别,以及内核的组成部分。 4. Windows内核编程:学习Windows内核编程的基本概念和技术,包括驱动程序开发、系统调用、内核对象管理等。 5. 调试工具:掌握Windows内核调试工具,如WinDbg和Kernel Debugger,用于分析和调试内核代码。 以下是一些学习Windows内核的资源推荐: 1. 《Windows内核原理与实现》:这是一本经典的Windows内核书籍,详细介绍了Windows内核的原理和实现。 2. Microsoft官方文档:Microsoft官方提供了丰富的Windows内核开发文档和示例代码,可以从官方网站获取相关资源。 3. 开源项目:参与开源项目可以帮助你更好地理解和学习Windows内核,例如ReactOS和Windows Driver Frameworks等。 4. 在线论坛和社区:加入Windows内核开发的在线论坛和社区,与其他开发者交流经验和学习资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值