Windows系统基本概念

windows API:被文档化的可以调用的子例程，如CreateProcess

原生的系统服务(执行体系统服务):未被文档化的、可以再用户模式下调用的底层服务，如NtCreateProcess

内核支持函数:位于操作系统内核只能在内核模式下调用的函数，如ExAllocatePool

windows服务:由windows服务管理器启动的的进程

DLL:一组可调用的子例程，合起来链接成一个二进制文件

程序:静态的指令序列

进程:一个包含了执行一个程序的特定实例所用到的各种资源的容器,由以下元素构成
1.一个私有的虚拟地址空间
2.一个可执行的程序，它定义了初始的代码和数据，并且被映射到该进程的虚拟地址空间
3.一个已打开的句柄列表，该进程内所有的县城都可以访问这些系统资源
4.一个称谓访问令牌的安全环境，表示了与该进程关联的用户、安全组和特权
5.一个被称为进程ID的唯一标识
6.至少一个执行线程

线程:一个进程内部的实体,包括以下一些最基本的部件
1.代表处理器状态的一组CPU寄存器的内容
2.一个线程在内核模式下执行时候的栈和一个线程在用户模式下执行时候的栈
3.TLS(线程局部存储区)，各个子系统、运行库和DLL都会用到该存储区域
4.一个称为线程ID的唯一标识符，在内部被称为客户ID
5.线程自己的安全环境
线程上下文/环境(context):易失寄存器、栈和TLS合起来就是线程上下文，这些结构与底层系统结构相关

进程的安全环境被存储在访问令牌对象中，该对象还包含了该进程的安全标识符和凭证
虚拟地址描述符(VAD):一些数据结构，内存管理器利用这些数据结构来记录一个进程所使用的虚拟
地址

为了避免用户应用程序访问或修改关键操作系统数据，使用两种处理器的访问模式，用户模式和内核模式
内核模式:一种处理器执行的模式，它允许访问所有的系统内存和CPU指令
对象类型:包含了一个系统定义的数据类型、在该数据类型的实例上进行操作的一些函数以及一组
对象属性
对象:指某一个静态定义的对象类型的单个运行时的实例。任何一个进程都是进程对象类型的一个实例，如此等等

句柄:指向对象实例的引用