Windows程序设计（1）——Win32运行原理（一）

- CPU保护模式与Windows系统
- 内核对象

1 CPU保护模式与Windows系统

80386的CPU有3种工作模式：实模式、保护模式、和虚拟86模式。其中实模式和虚拟86模式是为了兼容8086CPU而设置的。保护模式是其主要的工作模式。Windows操作系统就运行在保护模式，而保护主要指的就是对存储器（内存和寄存器）的保护，意味着对存储器的读写是受限制的。

1.1 Windows多任务

80386在两个方面对多任务系统提供了支持：一是在硬件上为任务的切换提供良好条件，二是实现了多任务隔离。

在同一时间系统中会有多个活动的进程。每个进程都被给予它自己的私有地址空间。进程内的线程运行时，该线程仅仅能够访问属于它的进程内存空间。在不同的进程中可以有存放在相同地址的数据结构，但它们彼此没有关联，因为它们在各自的地址空间中。

这里所说的进程就是正在运行的应用程序的实例。而占用CPU时间片执行指令的是线程。

1.2 虚拟内存

在保护模式下，CPU寻址范围是0x00000000~0xFFFFFFFF(2³², 4GB)。Windows会为每个进程分配4GB的地址空间，也就是虚拟内存。主要依靠CPU的支持，可以将磁盘空间当作内存空间来使用。在磁盘上应用于这一机制的文件称为页文件(paging file)。

在大多数的操作系统上，Windows将些空间的一半(4GB的前半部分, 0x00000000~0x7FFFFFFF)留给进程作为私有存储。另一半(0x80000000~0xFFFFFFFF)来存储操作系统内部的数据。

1.3 处理器的特权级别

处理器定义了4种（0~3）特权级别。Windows使用了0和3两个特权级别，对应于内核模式和用户模式。用户程序在用户模式下运行，系统程序在内核模式下运行。

当应用程序调用一个系统函数的时候，用户的应用程序会从用户模式切换到内核模式去执行。虚拟内存中的每一页的页属性都有访问模式的标识，标识哪一个模式下的代码才有权限去访问该页，这样就很好的区分了不同模式下的访问权限。

一般来说，研究WDM（Windows Driver Model）设备驱动的书讨论的是内核模式下的Windows程序设计，而SDK程序设计主要指的是用户模式下的程序设计。

2 内核对象

内核对象是系统提供的用户模式下与内核模式下代码进行交互的基本接口。经常需要创建、撕开和操作内核对象。

2.1 内核对象有什么用

为了管理应用程序，系统有必要维护一些不允许应用程序直接访问的数据。一个内核对象是一块内核分配的内存，它只能被运行在内核模式下的代码访问。内核对象记录的数据在整个系统中只有一份，所以它们也称为系统资源。

对于每一个内核对象，Windows都提供了在其上操作的API函数，这些API函数使应用程序有机会读或者写系统数据，但这一切都是在系统监视下进行的。

内核对象与普通的数据结构间最大的区别就是其内部数据结构是隐藏的，必须调用一个对象服务才能从些对象中得到数据，或者修改数据。因此，内核对象可以完成下面4个任务：

为系统资源提供可识别的名字。
在进程之间共享资源和数据。
保护资源不会被未经认可的代码访问。
跟踪对象的引用情况。使得系统知道什么时候一个对象不再被使用了，以回收资源。

2.2 对象句柄

内核对象的数据结构仅能从内核模式访问，应用程序必须使用API函数才能访问内核对象。调用函数创建内核对象时，函数会返回标识此内核对象的句柄。可以将句柄认为是一个能被进程中所有线程使用的一个不透明的值，许多API函数需要使用它们作为参数，以便系统知道要操作哪一个内核对象。

一般来讲，句柄是进程相关的。但使用DuplicateHandle函数可以复制进程句柄，实现多个进程共享一个内核对象。

2.3 使用计数

内核对象是进程内的资源，使用计数属性指明进程对特定内核对象的引用次数，当系统发现引用次数是0时，它就会关闭资源。