南邮操作系统教程CH 07 Windows结构分析.ppt

复习：Windows系统机制 陷阱机制 中断和异常 硬中断和软中断 IRQ/IRQLs IDT ISR 复习：DPC Windows需要中断响应代码必须尽可能的简单，并且尽快地将控制权交还给系统。 DPC在功能上可以理解为ISR的一部分，ISR设计的尽量简单并尽快返回控制权，而将一部分功能剥离出来放入DPC中延迟调用。 DPC是一个内核对象，它对用户态程序是不可见的，每个CPU都维护一个DPC队列，里面存放等待执行的DPC代码。 将一个DPC放入DPC队列会促使内核请求一个在DPC/dispatch级的软件中断。 系统服务调度 一个系统服务调度通常由int 0x2e (46)指令触发(x86 PentiumII之前的处理器)，Windows将填写IDT表的46项，让它指向系统服务调度程序(System Service Dis-pather)，后者将根据功能号在系统服务调度表中找到相应的系统服务代码。(功能号作为参数保存在EAX寄存器中) 系统调用过程 writeFile in Kernel32.dll NtWriteFile in Ntdll.dll Gdi32.dll User32.dll 系统调用入口在win32.sys 系统调用入口在Ntoskrnl.exe 系统服务调度程序在Ntoskrnl.exe 系统服务调度程序在Ntoskrnl.exe Wow64机制 Wow64 (Win32 emulation on 64-bit Windows) 是指允许在64位的Windows上执行32位的x86应用程序，它使用了一组用户态DLL实现。 Wow64cpu.dll Wow64.dll Wow64win.dll 7.3 Windows安全机制 Windows的安全标准 Windows NT达到了TCSEC标准的C2级别，并符合B2级的两项标准 A secure logon facility：用户能唯一的鉴别，只有鉴别并授权后才能访问系统资源 Discretionary access control：资源的所有者可以授权给其他的用户和组访问该资源 Security auditing ：发现并记录安全相关事件 Object reuse protection：资源的重用保护，如使用过的内存再分配前应该擦除 Trusted path functionality ：用户登录时必须经过信任路径，如Ctrl+Alt+Delete Trusted facility management ：基于帐户的管理权限 安全系统组件 Security reference monitor (SRM) 执行体(Ntoskrnl.exe)的一个组件，它负责执行对象的安全访问检查、权限处理以及产生审计消息。 Local security authority subsystem (Lsass) 一个用户态进程lsass.exe，它负责本地的安全策略的执行，如谁可以登录机器、密码规则等。 Lsass policy database 系统安全策略数据库，保存对安全策略的设置。 Security Accounts Manager (SAM) service 它是一组管理SAM数据库的函数，SAM数据库中包含本机上的用户名和组。 SAM database 安全系统组件(续) Authentication packages 是一个msv1_0.dll动态链接库，它负责检查给定的用户名和密码是否与SAM数据库的相匹配 Logon process (Winlogon) 用户态进程winlogon.exe，负责响应SAS并管理用户登录界面，它将用户输入的名称和密码交给LSA验证 Graphical Identification and Authentication (GINA) 运行在winlogon.exe进程中的用户态DLL—msgina.dll 安全组件关系图 Driver HAL Kernel Graphics Driver Executive SRM msv1_0.dll SAM Service SAM LSA Policy Lsass.exe msgina.dll Winlogon.exe 本地过程调用LPC Local Procedure Call (LPC)是一种进程间通信的机制，用于高速的消息传递。 LPC不是直接通过Win API进行的调用，它是Win-dows操作系统组件间的一种内部调用机制。以下几个地方使用到了这种机制： RPCs：RPCs是一组文档化的API函数，LPC就是RPC的本地版本。 少数Win API会引发消息传递至Win32子系统进