理解Windows核心模式與使用者模式

核心層次架構

windows程式執行分為核心模式和使用者模式，核心模式可以訪問所有的記憶體地址空間， 並且可以訪問所有的CPU指令。一般程式執行在使用者模式， 通過系統呼叫切換到核心模式執行系統功能，Windows系統通過這種方式來確保系統的安全和穩定。



下面是核心的層次劃分:

硬體抽象層(Hardware Abstraction Layer) (HAL) (hal.dll)
最底層隔離硬體的， 底層的第三方驅動程式就執行在這層。

核心 (Kernel)
實現作業系統的一些底層服務，比如執行緒排程， 多處理器的同步，中斷/異常處理等。

執行體 (Executive)
實現基本的作業系統服務，比如基本的執行緒程式管理，記憶體管理， IO及程式間通訊等。

視窗圖形子系統(Windows  Graphics Subsystem)
由win32K.sys在核心層實現, 使用者介面相關都依賴該層, User32.dll的大部分功能都由該層實現。

使用者層關鍵程式

Windows系統在使用者層有幾個關鍵的系統程式:

Smss.exe (session manager Subsystem)
關於Session的概念可以參考我的這篇Sessions, Window Stations and Desktops， 在作業系統啟動時會建立一個不與任何Session關聯的Smss.exe管理者例項， 然後當有使用者登入時它會為每個Sessin拷貝一份與之關聯的Smss.exe例項，然後由該關聯的Smss.exe例項啟動winlogon.exe和csrss.exe.

WinLogon.exe
該程式管理使用者的登入和登出， 我們按Ctrl+Alt+Del出現的介面和登入後出現的桌面視窗都是由它啟動的。

Csrss.exe ( Client/Server Runtime Subsystem)
我們可以看到我們的桌面視窗(GetDesktopWindow)是由該程式建立的， 該程式主要負責Win32子系統的使用者模式部分(核心模式部分由win32k.sys實現)。

Lsass.exe (Local Security Authority Subsystem)
WinLogon.exe通過該程式驗證使用者登入， 登入後產生安全訪問令牌物件， 通過該令牌建立Explorer.exe, 我們其他使用者程式都由Explorer.exe啟動，並且繼承了該令牌許可權。

Services.exe
該程式簡稱為SCM (NT Service Control Manager), 該程式負責啟動使用者態一些特殊程式， 也就是我們通常所說的服務程式。

使用者模式呼叫核心模式方式

由使用者模式呼叫核心模式一般有2種方式 系統呼叫(system call) 和 IOCTL (IO Control Commands)


核心模式呼叫使用者模式方式

可以通過IOCTL的上下文傳遞， 也可以通過APC (Asynchronous Procedure Call)直接呼叫。

程式間通訊方式

另外一種非常強大的使用者模式與核心模式通訊方式， 同時也支援程式間通訊， 該方式就是ALPC (Advanced Local Procedure Call)， 該方式被作業系統大量使用， WinRT中的Broker程式也用到了它 。
該方式實際上就4個核心函式:nt!NtAlpcSendWaitReceivePort, nt!NtAlpcCreatePort, nt!NtAlpcConnectPort, Nt!AplcAcceptConnectPort, 大概原理如下:



總結一下 ，通過上面Windows系統中一些關鍵概念的介紹， 加深我們對Windows系統的理解， 讓我們對應用開發全域性性的把握。 

http://www.cnblogs.com/weiym/archive/2013/01/12/2858006.html