Windows NT内核分析.pdfVIP

. Windows NT 内核分析 (文章整理 by sunsjw 2007 年8 月27 日21 时58 分 QQ：509207758) 由于我在看到这篇文章时已经没有了作者与译者的信息，抱歉一下，这的确是一篇好文，值 得转： 00.系统组件 01.Windows NT 操作系统的内存格局 02.Windows NT 与 FLAT 模型 03.线程信息块 （THREAD INFORMATION BLOCK） 04.进程控制域（PROCESSOR CONTROL REGION） 00.系统组件 ===================== 实际上，所有的Windows NT 组件其本身都是DLL、PE 格式的.EXE 文件、导入导出函 数。Windows NT 的主要组件有： *Ntoskrnl.exe 系统核心。系统执行函数都集中于此，这些函数又会调用其它组件。核心组件有：对象管理 器、内存管理器、进线程创建、进线程控制、LPC、安全管理、异常处理、文件系统、输入输出、 VDM、和т .д .一般都位于大 的地址上。 *Hal.dll 硬件抽象层（Hardware Abstraction Layer）－ 硬件相关的模块。该隔离层将操作 系统中硬件相关的部分隔离出来以增强系统的可移植性。主要的模块实现了非常底层的函数：程 序控制中断、硬件输入输出等等。一般位于大 的地址上。 *Ntdll.dll 实现某些Win32 API 函数。提供了核心模式与用户模式之间的接口。位于用户空间。换句 话说，系统函数调用主要由这里导出。 *Kernel32.dll 实现了一些函数，类似于Win9x 的核心。其中有很多的函数封装在ntdll.dll 中。 *Csrss.exe 进程服务器子系统。其是一个单独的进程，因此受到保护以免受其它进程（位于其它进程的 地址空间中）影响。对服务的请求要借助于LPC 产生。 *Win32k.sys 驱动程序。用以减少调用Csrss 服务开销损失。在此程序中实现了GDI 和USER 函数。不 用 LPC 而用系统调用－这很明显提高了Windows NT4.0 和 2K 的图形处理性能。 01.Windows NT Windows NT 操作系统的内存格局 ============================= . 在 Windows NT 中高2G 的32 位线性地址空间保存了供系统使用的程序。这种格局，地 址空间 - ffffffff 为系统组件：驱动程序、系统表、系统数据结构等等。系统内 存的精确格局是不可能得到的，但是通过其功能用途和大致位置可以区分出各个区域。 9FFFFFFF 系统代码。在这里驻留的是Hal 和 ntoskrnl 的代码和数据，还有驱动程序（boot 驱动和 加载 ntosldr 的驱动）。GDT、IDT 和TSS 结构体同样驻留在这些区域中。 *C0000000-C0FFFFFF 系统表的区域。这个线性地址空间区域保存着进程的页表，页目录和其它与进程结构体有关 的东西。这个区域不是全局性的，不像其它的系统空间区域，而且对于于每一个进程来说会映射 到不同的物理空间，其保存着当前进程的数据结构。 *E1000000-E57FFFFF 分页池。这个区域可以换出到磁盘上。操作系统中的大多数对象都在这个区域中产生。实际 上一些内存池位于这个区域中。 *FB000000-FFDFEFFF 不可换出页的区域，即非分页区（Non Paged Poll）。这个区域中的数据永远不能换出到 磁盘上。这个区域中的数据总是系统必需的数据。例如，这里有进程与线程的信息块（Thread environment block, Process Environment block ）。 *FFDFF000-FFFFFFFF PCR - Processor Control Region (进程控制域) 用于每一个进程。这个区域中保存 着 PCR 结构体。在此结构体中保存着系统状态的