理解Windows内核模式与用户模式

内核层次架构

windows程序运行分为内核模式和用户模式，内核模式可以访问所有的内存地址空间， 并且可以访问所有的CPU指令。一般程序运行在用户模式， 通过系统调用切换到内核模式执行系统功能，Windows系统通过这种方式来确保系统的安全和稳定。



下面是内核的层次划分:

硬件抽象层(Hardware Abstraction Layer) (HAL) (hal.dll)
最底层隔离硬件的， 底层的第三方驱动程序就运行在这层。

内核 (Kernel)
实现操作系统的一些底层服务，比如线程调度， 多处理器的同步，中断/异常处理等。

执行体 (Executive)
实现基本的操作系统服务，比如基本的线程进程管理，内存管理， IO及进程间通讯等。

窗口图形子系统(Windows  Graphics Subsystem)
由win32K.sys在内核层实现, 用户界面相关都依赖该层, User32.dll的大部分功能都由该层实现。

用户层关键进程

Windows系统在用户层有几个关键的系统进程:

Smss.exe (session manager Subsystem)
关于Session的概念可以参考我的这篇Sessions, Window Stations and Desktops， 在操作系统启动时会创建一个不与任何Session关联的Smss.exe管理者实例， 然后当有用户登录时它会为每个Sessin拷贝一份与之关联的Smss.exe实例，然后由该关联的Smss.exe实例启动winlogon.exe和csrss.exe.

WinLogon.exe
该进程管理用户的登录和注销， 我们按Ctrl+Alt+Del出现的界面和登录后出现的桌面窗口都是由它启动的。

Csrss.exe ( Client/Server Runtime Subsystem)
我们可以看到我们的桌面窗口(GetDesktopWindow)是由该进程创建的， 该进程主要负责Win32子系统的用户模式部分(内核模式部分由win32k.sys实现)。

Lsass.exe (Local Security Authority Subsystem)
WinLogon.exe通过该进程验证用户登录， 登录后产生安全访问令牌对象， 通过该令牌创建Explorer.exe, 我们其他用户进程都由Explorer.exe启动，并且继承了该令牌权限。

Services.exe
该进程简称为SCM (NT Service Control Manager), 该进程负责启动用户态一些特殊进程， 也就是我们通常所说的服务程序。

用户模式调用内核模式方式

由用户模式调用内核模式一般有2种方式 系统调用(system call) 和 IOCTL (IO Control Commands)


内核模式调用用户模式方式

可以通过IOCTL的上下文传递， 也可以通过APC (Asynchronous Procedure Call)直接调用。

进程间通讯方式

另外一种非常强大的用户模式与内核模式通讯方式， 同时也支持进程间通讯， 该方式就是ALPC (Advanced Local Procedure Call)， 该方式被操作系统大量使用， WinRT中的Broker进程也用到了它 。
该方式实际上就4个核心函数:nt!NtAlpcSendWaitReceivePort, nt!NtAlpcCreatePort, nt!NtAlpcConnectPort, Nt!AplcAcceptConnectPort, 大概原理如下:



总结一下 ，通过上面Windows系统中一些关键概念的介绍， 加深我们对Windows系统的理解， 让我们对应用开发全局性的把握。