2022年windows系统调用 .pdf
( 4.5 )《2022年windows系统调用 .pdf》由会员分享,可在线阅读,更多相关《2022年windows系统调用 .pdf(4页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、Windows系统调用浅析默认分类2009-11-05 17:39:15 阅读 390 评论 0 字号:大中小订阅网上关于 Linux 系统调用的资料很多了,介绍都很详细。而最近需要了解下Windows 系统调用,发现Windows 的系统调用机制比 Linux 的复杂很多,可能是初次接触比较陌生的缘故。我在此只是进行简单的分析,基本上都是查看别人的资料,再加上自己的理解。(说明:毛得操老师写的关于 Windows 内核源码情景分析 是本很好的参考资料,建议大家有兴趣的看看)X86 体系结构提供了4 个特权级(ring 0,1,2,3),Windows 只使用了其中的2 个特权级,分别是rin
2、g 0(内核空间),ring 3(用户空间)。在默认情况下,Windows 将低 2GB 的地址空间。与进程相关的结构主要包括进程块(EPROCESS)、进程环境块(PEB)、线程块(ETHREAD)、线程环境块(TEB),它们之间的关系如下图:(1)进程块(EPROCESS):每个 Windows 进程通过进程块来描述,其中包含于进程相关的属性,同时还指向其他的数据结构。(2)进程环境块(PEB):存放进程信息,每个进程都有自己的PEB 信息。位于用户地址空间。在Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在0 x7FFDF000处,这是用户地址空间,所以程序能够直接访问
3、。准确的PEB名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 4 页 -地址应从系统的EPROCESS结构的 0 x1b0 偏移处获得,但由于EPROCESS在系统地址空间,访问这个结构需要有ring0 的权限。还可以通过TEB 结构的偏移0 x30 处获得 PEB 的位置,FS 段寄存器指向当前的TEB 结构:mov eax,fs:0 x30 mov PEB,eax 在用户态下 WinDbg 中可用命令$proc 取得 PEB 地址。(3)线程块(ETHREAD):Windows 线程通过线程执行体来描述,除了TEB 之外的结构都位于内核地址空间。(4)线程环境块(TEB):系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年windows系统调用 2022 windows 系统 调用
淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
限制150内