Windows内部概述-2-

线程:

执行代码的实体是线程。一个线程的包含在进程里面的,线程使用进程提供的资源来运行代码。

一个线程拥有以下的内容:

1:明确的运行模式,用户态或者内核态。

2:执行的环境,包括寄存器和执行状态。

3:一个或两个栈空间,用来存放变量和调用管理。

4:Thread Local Storage(TLS) 线程本地存储数组,用来存储线程专用数据和提供统一的访问语法。

5:基本的优先级和当前(动态)的优先级。

6:和处理器关联,用来指示允许线程在那个一个处理器上运行。

Windows内核开发-Windows内部概述-2--LMLPHP

线程栈

每个线程当运行时有一个栈空间来存放变量、传给函数的参数和函数调用前存储返回地址的位置。

一个线程有至少一个栈堆留在系统的内核空间,而且空间非常小(默认为12KB 32位系统和64系统上24KB)。用户态的线程有第二个堆栈在它的用户进程地址空间范围内是挺大的一个空间(默认情况下可以增长到1mb)。

Windows内核开发-Windows内部概述-2--LMLPHP

当线程处于运行状态或者就绪态时,内核堆栈总是停留在RAM内存中。而对于用户态的堆栈来说就是另一方面了,可以被直接分页交互,就像用户模式的内存一样。

就堆栈大小而言的话用户模式下的堆栈和内核模式下的堆栈使用情况不同。用户模式下的堆栈一开始会提交少量的内存(可以小到和一个页面一样大小),将剩下的内存地址空间作为保留内存,这段保留内存是没有被分配的。这样做的目的是在线程执行代码的时候可以动态地增长堆栈空间。为了达到动态增长堆栈的目的,通常是在已经提交了的堆栈内存中往后设置一个被称为PAGE_GUARD状态的内存保护页(有时是多个页),如果线程需要更多的堆栈空间,它将会访问保护页面,这样就会触发一个由内存管理器处理的异常,然后内存管理器再删除保护状态并提交该保护状态的页面,再将下一个页面标记为保护页面,这样让堆栈根据需要来增长。

Windows内核开发-Windows内部概述-2--LMLPHP

用户态的线程堆栈大小由以下内容确定

1:可执行的文件在PE文件中有一个默认的提交和保留状态堆栈大小,如果线程没有修改就是默认的。

2:当在创建线程的时候,可以通过函数参数来指定所需堆栈大小,预先提交的大小或保留的大小。

线程小结:线程才是真正跑代码的东西,线程利用的是进程提供的代码和数据来运行,线程可以分为三个状态来标识,同时线程也分用户态和内核态,两者的存储堆栈大小不同,用户态的堆栈也有三个状态目的是为了动态的增长堆栈大小,线程的堆栈大小可以由PE文件结构和创建线程函数来规定。

系统服务(系统函数call)

一个应用程序会执行各自操作系统应该执行的操作,例如:分配内存,打开文件,创建线程等等。这些涉及操作系统的操作,最后都是由操作系统内核来运行代码实现,那么用户模式下如何进行这样的操作呢?其实很简单,肯定是内核提供了API接口给我们使用。

例如:打开Sublime新建一个文件,那么这里的Sublime的代码通过调用CreateFile这个API来实现新建文件,CreateFile这个API是记录在kernel32.dll这个动态链接库里面的,kernel32.dll是Windows其中的一个子系统的dll。但是这函数仍然是在用户太下运行的,所以它仍然是无法直接打开文件的。在进行错误检查后,一个名叫在NTDLL.dll中的API函数NtCreateFile会被调用,该NTDLL.dll是一个基础的dll所以这个NtCreateFile也被称为本地的API函数,但是实际上它仍然属于用户模式的最低代码层。该API有一个重要作用就是实现了向内核状态的转换,但在它转换前它将一个称为系统服务号码的数字赋值给CPU的(inter/arm架构上的)eax寄存器,然后再 发出一个特殊的CPU指令,在跳转到被称为系统服务调度程序的预定义例程时也同时转换到内核模式中。

然后系统服务调度程序反过来将eax中的值作为系统服务调度表(SSDT)的索引,通过该表,代码会跳转到系统服务(系统调用)本身上,对于我们这里的创建文件,SSDT将指向I/O管理器的NtCreateFile函数来创建文件。(这里的NtCreateFile和NTDLL.dll的NTDLL.dll中的NtCreateFile名称一样,参数也一样)。在系统服务执行完后,线程就会返回用户模式继续执行后面的命令。

1 CreateFile

2 NTDLL.dll中的NtCreateFile

3 mov eax.n 跳转到系统调度程序,且进入内核态

4 系统调度程序根据eax的值从SSDT中找到要提供的服务

5 使用内核的NtCreateFile来创建文件

Windows内核开发-Windows内部概述-2--LMLPHP

系统服务总结:当涉及到和OS相关的操作时通常都会调用内核的内容来实现,这就会通过要实现的功能进入内核,然后内核系统调度程序根据要实现的功能再在内核中实现后又返回到下一条指令中继续执行。

通用系统架构:

Windows内核开发-Windows内部概述-2--LMLPHP

系统架构小结:这个概念属实有点多了,慢慢再消化把。

系统句柄和系统对象

Windows内核公开了各种类型的对象,共用户模式进程和内核还有内核驱动使用。这些对象的实例是系统空间的数据结构,由用户或内核模式的执行代码向对象管理器请求时创建的。对这些对象的引用将会被计数,只有当最后一个引用的对象被释放后才会销毁内存并从内存中释放资源。

因为这些实例对象是位于系统空间中,所以不能在用户态被访问。用户态如果要访问这些系统提供的对象必须采用间接访问机制,将其称为句柄handle。句柄是对基于进程维护的表中条目的索引,它在逻辑上指向驻留在系统空间中的内核对象。由各种的Create和Open开头的函数来创建或获取一个对象和获取这些对象对应的句柄。例如:CreateMutex这个用户态的API会创建一个Mutex对象,如果成功,函数将返回该对象的句柄。返回值为零,表示一个无效的句柄(函数调用失败),同样如果调用OpenMutex函数来试图打开一个互斥体的句柄,如果存在就返回句柄,不存在就失败返回NULL(0)。

内核(驱动程序)可以使用句柄或者直接指向对象的指针来操作。这样通常是为了想要调用基于Windows对象的API。在某些情况下,由用户模式提供句柄给驱动必须通过ObReferenceObjectByHandle这个API函数转换为指针的形式。

句柄都是4的倍数,第一个有效的句柄是4,0永远不是有效句柄值。

在内核模式情况下可以使用句柄也可以直接使用指针,到底是指针还是句柄通常看函数需要的参数。内核代码可以使用ObReferenceObjectByHandle函数来将指针的句柄变成指针。如果对内核对象的引用成功会导致它的计数增加,所以就是如果用户模式的代码关闭了句柄这并不危险并不会导致空指针,因为要所有的引用都释放了才会销毁该内存。无论通过句柄做了什么,但是该句柄对应的对象都可以安全地访问,直到内核代码调用ObDerefenceObject函数,以减少对象的引用计数;如果内核代码错过此调用,则是资源泄漏,只能在下次系统启动时解决(也就是重启)。

所有的系统对象都会进行引用计数。对象管理器维护着句柄计数的值和内核对象引用的次数值。一旦一个内核对象不再被需要,使用或者创建它的客户端需要对其进行关闭句柄(如果使用的是句柄来访问对象)或者是取消引用对象(如果用的是内核指针)。取消或者关闭后句柄/指针就没有效果了,如果一个内核对象的引用计数达到零,则对象管理器就会销毁该对象,释放空间。

每个对象都指向了一个对象类型,该对象类型包含了有关该对象的类型本身的信息,这也意味着每种类型对象都只有一个单一的对象对应。就好比面向对象的类只有一个对象,也是设计模式里面的单例模式。这些直接对外公开的内核对象其中一些在内核的头文件里面定义。

内核对象名称

有一些内核对象有名字,这些有名称的内核对象可以通过名字被对应的Open函数来打开对象。并不是所有的内核对象都有名字,比如:进程和线程就没有名字,他们只有ID。这就是为什么OpenProcess和OpenThread函数需要线程/进程的ID而不是名字了。还有比较奇怪的一种情况:没有名称的对象是一个文件。文件名不是和对象名一一对应,两者是不同的概念。

在用户模式的情况下,如果具有该名称的对象不存在就会调用构建函数来依据对象的名称来创建一个对象;如果存在就打开该对应的名称的对象。

提供给创建函数Create*的对象名称并不是该对象的最终名称,名称由\Sessions\x\BaseNamedObjects\来命名对象,其中x是调用者的会话ID,如果会话为0,则由\BaseNamedObjects\来命名。如果调用者碰巧在应用程序容器(通常是通用Windows平台进程)中运行,则前置字符串将更为复杂,并且由唯一的应用程序容器SID:\Sessions\x\AppContainerNamedObjects{AppContainerSID}组成

以上的内容都表明对象名称是和会话相关的(如果是AppContainer应用程序容器则是和包相关)。如果必须在会话之间来共享对象则可以在会话0时使用Global预设计对象名来创建对象,例如,使用名为Global的CreateMutex函数创建互斥体将在\BaseNamed对象下创建它。

Windows内核开发-Windows内部概述-2--LMLPHP

图所示的视图是对象管理器命名空间,由命名对象的层次结构组成。将整个结构保存在内存中,并根据需要由对象管理器(执行人员的一部分)进行操作。请注意,未命名的对象不是此结构的一部分,这意味着在WinObj中看到的对象不包含所有现有对象,而是使用名称创建的所有对象。

每个进程都由一个私有的针对内核对象的私有句柄表,它可以通过Process Explorer 或者Handles Sysinternals tools来查看:

Windows内核开发-Windows内部概述-2--LMLPHP

默认的情况是只能看句柄类型和名字,但是可以在view中选择显示未命名的句柄,还可以右键选中这个地方来增加查看句柄的内容:

Windows内核开发-Windows内部概述-2--LMLPHP

句柄视图中的各个列为每个句柄提供了更多信息。 显示了很多真实的对象名称:Mutexes (Mutants), Semaphores, Events, Sections, ALPC Ports, Jobs, Timers等等还有一些用的比较少的对象类型。然而,有一些显示的名字并不是他根本的名字:

访问现有的对象

进程资源管理器的句柄视图中的“访问”列显示用于打开或创建句柄的访问掩码。此访问掩码是允许执行的操作的关键具有一个特定的句柄。例如,如果客户端代码想要终止一个进程,它必须首先调用Open进程函数,以获得对所需进程的句柄,其访问掩码为(至少)PROCESS_TERMINATE,否则就没有办法用该句柄终止该进程。如果调用成功,则终止进程将成功。

下面是一个在给定进程ID时终止进程的用户模式示例:

bool KillProcess(DWORD pid) {
// open a powerful-enough handle to the process
HANDLE hProcess = OpenProcess(PROCESS_TERMINATE, FALSE, pid);
if (!hProcess)
return false;
// now kill it with some arbitrary exit code
BOOL success = TerminateProcess(hProcess, 1);
// close the handle
CloseHandle(hProcess);
return success != FALSE;
}

“访问掩码”列提供了访问掩码的文本说明(对于某些对象类型),使它更容易识别对特定句柄所允许的精确访问。双击句柄条目将显示该对象的一些属性。

图中的属性包括对象的名称(如果有)、其类型、描述及其地址

在内核内存中,打开的句柄的数目,以及一些特定的对象信息,例如:所显示的事件对象的状态和类型。请注意,所显示的参考文献并没有表示实际的对该对象的未完成的引用数。一种查看实际参考计数的正确方法该对象是使用内核调试器的!trueref命令,如下所示:

Windows内核开发-Windows内部概述-2--LMLPHP

小结:windows系统公开了自己在内核中的对象和类,内核中的对象和类一一对应,只有唯一一个,在用户态中可以使用句柄来调用内核对象,内核中可以用句柄也可以用指针,内核对象被引用后会计数,如果为0就会销毁它。每个进程有一个表来专门记录该进程对内核对象的引用。东西太多了,后面慢慢来吧!

Windows内部概述总结:

进程

虚拟内存

线程

系统服务

系统架构

以上就是WIndows的内部五大版块,每一个都能弄很久,所以总结起来实在是不太行,只有个大概的概念就好了,后面深入了就明白了。

06-24 11:32