《windows内核情景分析》读书笔记（1）---概述

1、采用现代操作系统的硬件必须具备哪些条件？

①CPU必须有内核态和用户态，防止操作系统映像被用户的不良行为破坏。

②用户程序必须分隔在不同的地址空间中，不能因为一个用户的误操作导致所有进程崩溃。

③用户进程在物理内存中的位置不应固定。

从80286开始，cpu开始支持保护模式，使pc具备了采用现代操作系统的条件。

2、windows内核初探

系统结构图如下：

windows内核可分为两部分

①核心层：包括硬件抽象层（HAL）和设备驱动底层
②管理层：包括对象管理、内存管理、进程管理、安全管理、I/O管理等等。

windows用户空间可分为：

①系统DLL：代表是ntdll.dll，kernel32.dll、user32.dll。提供windowsAPI。
②用户自定义DLL：用户应用软件中需要用到的DLL。

③应用程序

windows中，进程4GB虚拟空间分为两部分，从地址0x80000000开始向上是系统空间，以下是用户空间。

CPU必须进入"系统态"才能执行系统空间中的代码及访问其中数据。而用户空间则无论"系统态"和"用户态"均能访问。

CPU进入"系统态"的方法：

①系统调用(trap)

②中断

③异常

3、IRQ级别：Interupt Request Level 中断优先级、页面倒换

优先级的定义如下：

#define PASSIVE_LEVEL               0
#define LOW_LEVEL                     0
#define APC_LEVEL                      1
#define DISPATCH_LEVEL             2
#define PROFILE_LEVEL               27
#define CLOCK1_LEVEL                28
#define CLOCK2_LEVEL                28
#define IPI_LEVEL                       29
#define POWER_LEVEL                 30
#define HIGH_LEVEL                    31

如果CPU执行一个线程已经处于某个级别，其操作就不能收同级或更低级别的操作所干扰。

（1）其中PASSIVE_LEVEL的级别最低，但是却对应着系统结构中的较高的层次。IRQL是CPU可以自由设置的，每当CPU进入更底层、更核心的层次时就提高IRQL，反之则降低IRQL；但是表明IRQL的变量在内核中，运行于用户空间时是无法改变IRQL的。

（2）DISPATCH_LEVEL相当于CPU运行于Windows内核中的核心层，即“内核”层；线程的切换只能发生于CPU将从DISPATCH_LEVEL级别下降的时候。

（3）IRQL级别3以上用于硬件中断。

CPU的IRQL级别不高于APC_LEVEL的层次，其代码都是允许倒换的，但是从DISPATCH_LEVEL开始就不允许了。管理层代码中的大部分函数都有如下的代码，来说明该段代码可以被倒换出去：

#ifdef DBG
#define PAGED_CODE(){
     if(KeGetCurrentIrql() > APC_LEVEL){
           KdPrint(("NTDDK:Pageable code called at IRQL > APC_LEVEL(%d)\n",
                                                                                         KeGetCurrentIrql()));
           ASSERT(FALSE);
     }
}
#else
#define PAGED_CODE()
#endif

在Debug模式下，如果发现该段代码在高于APC_LEVEL的级别下运行，就会发出警告。

#pragma alloc_text(PAGE, NtQueryObject)时一个函数所在的页面可倒换。

4、windows内核函数命名

C语言程序：

ex:管理层

ke：核心层

hal：硬件抽象层

ob：对象管理

Mm：内存管理

Ps：进程管理

Se：安全管理

Io：I/O管理

Fs：文件系统

Cc：文件缓存管理

Cm：系统配置管理

Pp："即插即用管理"

Rtl：运行时刻库

汇编语言程序：

在函数名前加"_"，并加上标示参数个数的后缀。例如RtlZeroMemory()出现在汇编程序中就是_RtlZeroMemory@8,其中，@8表示两个参数，8个字节。

快速调用函数跟上面的格式又不一样，如@KfLowerIrql@4表示这是一个快速调用函数，后缀@4表示带有4个字节的参数，即一个参数。