Windows Internals学习笔记（一）概念与工具

参考资料：

1. 《Windows Internals》

2. Windows Drive Kit

3. Microsoft Windows SDK

4. WDK下载地址

知识点：

1. Windows Drive Kit（WDK）是微软提供的用于Windows平台的设备驱动软件开发工具集。它包括：文档、实例、Build环境和为驱动开发人员提供的开发工具。早期，它以Windows Driver Development Kit（DDK）闻名，支持Windows Driver Model（WDM）开发。目前的名词是诞生于Vista的发布，并增加了以下工具：

● Windows Driver Foundation (WDF)

● Installable File System Kit (IFS Kit)

● Driver Test Manager (DTM)

　　2. Microsoft Windows SDK，Platform SDK和.Net Framework SDK是微软提供的软件开发工具集。它包括：头文件、库文件、实例、文档和用于开发应用程序的工具。注意它们三者的区别（见Wiki）。

　　3. Windows API是用户态下的编程接口。常听说的有Win32 API和Win64 API。

　　

　　　　　　图1 Win API分类

　　4. Microsoft .NET Framework由类库Framework Class Library（FCL）和Common Language Runtime（CLR）组成。CLR是提供了可托管代码的执行环境，是一个经典的COM server，它的代码存在于标准的用户态Windows DLL中。实际上，.NET Framework中的所有组件都是基于非托管Windows API并实现为标准用户态的Windows DLL中的。

　　

　　图2 .NET Framework各组件之间的关系

　　5. Windows进程的组成：

　　● 一个私有的虚拟地址空间。

　　● 一个可执程序。

　　● 一个开放的句柄列表，用于访问各种系统资源。比如，信号量、通信接口和文件等。

　　● A security content called an access token。

　　● A unique identifier called a process ID。

　　● 至少有一个执行进程（At least one thread of execution）。

　　6. 每一个进程会指向其父进程或子进程。如果父进程不存在了，该信息不会被更新。因此，很有可能一个进行会引用一个不存在的父进程。但这不是问题，因为没有谁会依赖这些存于当前进程的信息。

　　7. Windows线程的组成：

　　● 一组CPU寄存器的内存，代表了处理器的状态。

　　● 两个栈，一个用于内核模式，一个用于用户模式。

　　● 一个私有存储区TLS（thread-local storage）。

　　● 唯一标识符（thread ID）。

　　● 线程有时候拥有各自的security context或token。

　　8. 线程的上下文包括：volatile寄存器，栈和私有存储区。

　　9. 作业是进程模型的扩展，一个进程对象的主要功能是把一组进程被当做一个单元来进行管理和操作。在一定意义上，作业对象弥补了Windows缺乏结构化进程树的缺陷。

　  10. Windows内部大多数文本字符串都是以Unicode字符存储的。因此，当调用ANSI版本的Windows函数时，会有一定的性能影响。

　　11. Symbol文件包含了函数和变量的名字，以及数据结构的布局和格式。它们由linker程序产生，被debugger程序使用。因此，这些信息是不存在二进制文件中的。也因此，二进制文件才更小、更快。

　　12. User-Mode debugging分Invasive和Noninvasive两种模式。工具：命令行版Kd.exe和GUI版Windbg.exe。

　　13. LiveKd是一个免费工具，它允许你使用标准的Windows内核调试工具去检查运行时系统，且无须在调试模式下重启系统。