windows内核情景分析学习笔记1

1、采用现代操作系统的硬件必须具备哪些条件？

①CPU必须有内核态和用户态，防止操作系统映像被用户的不良行为破坏。

②用户程序必须分隔在不同的地址空间中，不能因为一个用户的误操作导致所有进程崩溃。

③用户进程在物理内存中的位置不应固定。

从80286开始，cpu开始支持保护模式，使pc具备了采用现代操作系统的条件。

2、windows内核初探

windows内核可分为两部分

①核心层：包括硬件抽象层（HAL）和设备驱动底层
②管理层：包括对象管理、内存管理、进程管理、安全管理、I/O管理等等。

windows用户空间可分为：

①系统DLL：代表是ntdll.dll，kerncl32.dll、user32.dll。提供windowsAPI。
②用户自定义DLL：用户应用软件中需要用到的DLL。

③应用程序

windows中，进程4GB虚拟空间分为两部分，从地址0x80000000开始向上是系统空间，以下是用户空间。

CPU必须进入"系统态"才能执行系统空间中的代码及访问其中数据。而用户空间则无论"系统态"和"用户态"均能访问。

CPU进入"系统态"的方法：

①系统调用

②中断

③异常

3、windows内核函数命名

C语言程序：

ex:管理层

ke：核心层

hal：硬件抽象层

ob：对象管理

Mm：内存管理

Ps：进程管理

Se：安全管理

Io：I/O管理

Fs：文件系统

Cc：文件缓存管理

Cm：系统配置管理

Pp："即插即用管理"

Rtl：运行时刻库

汇编语言程序：

在函数名前加"_"，并加上标示参数个数的后缀。例如RtlZeroMemory()出现在汇编程序中就是_RtlZeroMemory@8,其中，@8表示两个参数，8个字节。