windows Kernel Model Driver快速入门(1)-Windows体系结构

已于 2023-10-24 23:44:02 修改
阅读量121 收藏
点赞数
分类专栏: Windows 文章标签: windows 1024程序员节
于 2023-10-20 00:02:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44716867/article/details/133936137
版权

Windows 体系结构

在进入驱动开发之前,我们首先来了解一下Windows体系结构
window体系结构
Windows体系结构如上图所示:

注意区分用户模式和内核模式,用户模式线程执行在私有地址空间(内核模式代码直接共享整个地址空间,但用户线程可以提供特殊CPU指令来切换到内核模式用以访问系统空间),系统进程、服务进程、用户进程和子系统进程都有各自的私有地址空间,内核模式和hyper v之间的分界线也清晰可见,严格说,hyperv以相同的CPU特权级别运行(ring0)作为内核,但实际上hyperv因为使用了专门的CPU指令(vt-x/svm)可以将自己和内核相隔离并监控它。

  • 用户进程:这是一个基于映像文件的普通进程,比如vscode.exe,cmd.exe,explore.exe等
  • 服务进程:和上面用户进程最大区别就是不和用户交互,由服务控制管理器(SCM,在services.exe中实现)进行通信,并控制生命周期,可以在运行框中输入service.msc打开查看,比如我们最常见的Windows update 服务。我们可以使用sc create 去手动创建一个服务,sc start/stop去启动、关闭服务。格式如下:
sc [<ServerName>] create [<ServiceName>] [type= {own | share | kernel | filesys | rec | interact type= {own | share}}] [start= {boot | system | auto | demand | disabled}] [error= {normal | severe | critical | ignore}] [binpath= <BinaryPathName>]

注意这里的type,我们后面将会kernel这个type来运行内核驱动程序

  • 系统进程:系统进程也不和用户交互,和上面最大区别是它不受服务控制管理器控制,他们对于系统非常重要,并只使用原生API(由NTDLL实现的API),比如,Service.exe,smss.exe(会话管理器),在这一级里。这些exe都将归系统所有而不是用户,这点可以打开任务管理器的详细信息看到。
  • 子系统DLL:是实现子系统的API的dll,windows NT内核在最初发布时候是有三个不同环境的子系统,分别是Windows、posix和os/2,然而现在只剩下了一个(Linux子系统和安卓子系统在这里不算),子系统DLL包括众所周知的文件,比如kernel32.dll、user32.dll、gdi32.dll、advapi32.dll、combase.dll等。这些DLL包含了大部分官方公开的Windows API。
  • 子系统进程:也叫 environment subsystems。Windows子系统的映像文件是Csrss.exe,可以视为一个助手进程,帮助内核对window系统中运行的进程管理,通常每个会话都有一个csrss.exe的实例,所以一般系统可以看到是有2个Csrss.exe在运行,一个对应对应会话0,一个对应用户登录的会话1。
  • NtDLL:实现了Windows原生Api,这是用户模式代码的底层。它最重要的作用是为系统调用提供到内核模式的转换。NTDLL也实现了堆管理、映像加载以及部分用户模式线程池功能.
  • 执行体:位于NtosKernel.exe中,包含大部分内核代码,比如内存管理器、IO管理器、网络管理器等。
  • 设备驱动:是可转载的内核模块,包含硬件设备驱动,文件系统、网络驱动这种软件驱动,其中硬件设备驱动是将用户的IO函数调用转换到特定的硬件设备IO请求
  • 内核:是最底层的实现,包含线程调度、中断和异常分发和多处理器同步,并提供原语和对象供执行体使用完成高级功能。
  • Win32k.sys:也可以称之为GUI,包含用户交互和GDI两个部分,本质是一个内核驱动
  • HAL:硬件抽象层,主要是把上面提到的内核组件和与平台无关的差异隔绝开来
  • HyperV虚拟机管理器:也称hypervisor,它实际只由它自己组成,没有驱动程序和其他模块在这个环境中,也就是说,hypervisor本身由以下组成,比如它自己的内存管理器,虚拟处理器调度器、中断和定时器管理、同步原语、分区(虚拟机实例)管理和分区间通信(IPC)等,因为它在最下面,所以当我们电脑实际打开hyper v后,guest和host都是运行在虚拟机环境中,与之类似的是,如果开启Windows的内核安全隔离,它实际就是利用hyper v技术来做到安全性。

下面是一些Windows核心组成的文件名

  • NtosKrnl.dll:执行体和内核 Hal.dll:HAL硬件抽象层

  • win32k.sys:GUI(Windows子系统的内核部分)

  • Hvix64.exe(intel)、Hvax64.exe(amd): Hypervisor

  • 后缀sys文件 in C:\Windows\System32\drivers:核心驱动文件,比如DX,TCP/IP,TPM,ACPI 支持

  • Ntdll.dll:内部功能实现系统服务分发给内核的执行体

  • Kernel32.dll、Advapi32.dll、User32.dll、GDI32.dll:Windows子系统核心DLL

Thinker 123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LLVM编译Windows驱动(goron/obfuscator)
zhuhuibeishadiao
08-25 4169
1.LLVM安装:Download LLVM releases(用于编译混淆后替换bin) 设置下环境变量: version见lib\clang下的文件夹名 set LLVMInstallDir=C:\Program Files\LLVM set LLVMToolsVersion=12.0.0 rem LLVMToolsVersion = name of the last subfolder in the path C:\Program Files\L...
内核模式(Kernel Mode)vs 用户模式(User Mode
沮丧的南瓜
11-10 5409
文章目录Kernel ModeUser ModeCPU保护模式 在现代操作系统中,CPU实际上都在两种截然不同的模式中花费时间: Kernel Mode 在内核模式下,执行代码可以完全且不受限制地访问底层硬件。它可以执行任何CPU指令和引用任何内存地址。内核模式通常为操作系统的最低级别、最受信任的功能保留。内核模式下的崩溃是灾难性的;他们会让整个电脑瘫痪。 User Mode 在用户模式下,执行代码不能直接访问硬件或引用内存。在用户模式下运行的代码必须委托给系统api来访问硬件或内存。由于这种隔离提供的保护
官方文件 api-ms-win-downlevel-kernel32-l2-1-0.dll
03-28
主要用于windows系统提示没有对应的api-ms-win-downlevel-kernel32-l2-1-0.dll动态库时导致的一系列报错问题。下载解压后,放到对应目录下:C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\api-ms-win-downlevel-kernel32-l2-1-0.dll
Windows驱动开发工具包下载 WDK下载 Win11 22H2
08-16
Win11专用 配合VS2022使用
Windows-Kernel-Explorer:免费但功能强大的Windows内核研究工具
02-06
Windows-Kernel-Explorer:免费但功能强大的Windows内核研究工具
api-ms-win-downlevel-kernel32-l2-1-0.dll
03-13
将下载完的System32/api-ms-win-downlevel-kernel32-l2-1-0.dll 以及SysWOW64/api-ms-win-downlevel-kernel32-l2-1-0.dll解压到c:/Windows
无法找到 WindowsKernelModeDriver10.0 的生成工具
本博客仅供免费阅读,不提供咨询服务。请勿私信。
01-09 1624
无法找到 WindowsKernelModeDriver10.0 的生成工具(平台工具集 =“WindowsKernelModeDriver10.0”)。若要使用 WindowsKernelModeDriver10.0 生成工具进行生成,请安装 WindowsKernelModeDriver10.0 生成工具。或者,可以升级到当前 Visual Studio 工具,方式是通过选择“项目”菜单或右键单击该解决方案,然后选择“重定解决方案目标”。
VS2015+WDK10+Win10 Win7以上系统驱动发开环境搭建
热门推荐
蓝叶菱的专栏
07-07 1万+
http://www.mycode.net.cn/language/cpp/1771.html VS2015+WDK10+Win10 Win7以上系统驱动发开环境搭建 7条回复 文本主要介绍 Win10 系统下安装 VS2015 及 WDK10 驱动开发环境的搭建,搭建完成后可通过 VS2015 直接新建驱动项目并编译通过后可在 Win7 以上系统运行。无需自己制作模版等繁琐步骤(其实早在 ...
WindowsKernelModeDriver10.0的生成工具 安装后依然找不到 麻烦各位大佬帮忙看看
m0_55596293的博客
08-26 1251
1.这是点击解决生成方案后报的错。
windows-kernel-a-driver-model.rar_kernel windows
09-21
windows 内核与驱动编程模型,win2000未公开的资料
WindowsWDK10.0.14393安装包
12-12
WindowsWDK10.0.14393安装包,下载后,直接运行,然后可以安装对应版本的WDK(14393)
windows-driver-kit-81-cpp
09-20
2018\09\10 周一 17:27 <DIR> Near-Field Proximity Sample Driver (UMDF Version 1) 2018\09\10 周一 17:27 <DIR> NONPNP 2018\09\10 周一 17:27 <DIR> NullFilter File System Minifilter Driver 2018\09\10 周一 ...
java技术栈快速复习04_javaweb基础总结
咖啡味的小认真
04-30 788
JDBC(Java DataBase Connectivity,Java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。简单说就是用Java语言来操作数据库。jdbc原理早期SUN公司的天才们想编写一套可以连接天下所有数据库的API,但是当他们刚刚开始时就发现这是不可完成的任务,因为各个厂商的数据库服务器差异太大了。
flutter 生成单选组件
weixin_40466351的博客
04-30 546
【代码】flutter 生成单选组件。
批量抓取某电影网站的下载链接
知命不惧,日日自新。
05-04 1909
在这个Python项目中,开发者创建了一个名为`MovieScraper`的类,用于从网站抓取电影信息。这个类包含了一些方法,每个方法都负责完成一个特定的任务: - `get_response(url)`:向指定的URL发送GET请求并返回响应。 - `get_movie_list_html(response)`:从响应中提取电影列表的HTML。 - `get_sub_url_list(movie_list_html)`:从电影列表HTML中提取子URL。
数据结构——链表专题2
最新发布
2301_79998744的博客
05-06 359
链表的一些题目
06_Flutter自定义锚点分类列表
gzx的博客
04-30 928
categoryWidth: 左侧边栏的宽度,右侧区域的宽度填充剩余空间即可。itemCount: 总共有多少个分类项,也就是左侧边栏中有多少个字项。sticky: 滑动过程中,右侧标题是否吸顶。controller: 外部通过controller可以控制左侧边栏中子项的选中以及右侧列表滑动位置的联动,同时监听选中状态。categoryItemBuilder: 创建左侧边栏中的每一个分类项。sectionItemBuilder: 创建右侧滑动列表中的每一个标题项。
鸿蒙内核源码分析(事件控制篇) | 任务间多对多的同步方案
maniuT的博客
05-06 807
一对多同步模型:一个任务等待多个事件的触发。可以是任意一个事件发生时唤醒任务处理事件,也可以是几个事件都发生后才唤醒任务处理事件
windowskernelmodedriver10.0 下载
12-08
Windows Kernel Mode Driver 10.0 是微软推出的一款用于 Windows 操作系统的内核模式驱动程序。它是操作系统的关键组成部分,负责与硬件设备进行通信和控制。 下载 Windows Kernel Mode Driver 10.0 可以通过微软官方网站或者 Windows Update 进行。 在微软官方网站上,可以找到相关的驱动程序下载页面。在该页面上,用户可以选择适用于自己的操作系统版本的驱动程序,并下载到本地计算机中。在下载之前,用户需要确定自己的操作系统版本,并确保下载的驱动程序与其兼容。 另外,Windows Update 也提供了更新和下载 Windows Kernel Mode Driver 10.0 的功能。用户可以打开 Windows Update 设置页面,检查更新,并选择下载和安装适用于自己的系统的驱动程序。Windows Update 会自动搜索并提供最新的驱动程序。 下载完成后,用户可以将驱动程序安装到自己的计算机中。安装过程中,需要遵循驱动程序提供的安装指南,按照提示完成安装。安装完成后,计算机将能够正确识别和使用相关硬件设备,以确保系统的正常运行。 需要注意的是,下载和安装 Windows Kernel Mode Driver 10.0 时,应当选择可信的渠道和官方源。避免从非官方或不受信任的第三方网站下载和安装驱动程序,以免带来安全风险和系统兼容性问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值