windows系统调用介绍说明.pdfVIP

Windows 系统调用浅析 默认分类 2009-11-05 17:39:15 阅读 390 评论 0 字号：大中小 订阅 网上关于 Linux 系统调用的资料很多了，介绍都很详细。而最近需要了解下 Windows 系统调用，发现 Windows 的系统调 用机制比 Linux 的复杂很多，可能是初次接触比较陌生的缘故。我在此只是进行简单的分析，基本上都是查看别人的资料，再 加上自己的理解。 （说明：毛得操老师写的关于 《Windows 内核源码情景分析》 是本很好的参考资料， 建议大家有兴趣的看看） X86 体系结构提供了 4 个特权级（ ring 0, 1, 2, 3 ），Windows 只使用了其中的 2 个特权级，分别是 ring 0 （内核空间）， ring 3 （用户空间）。在默认情况下， Windows 将低 2GB 的地址空间。 与进程相关的结构主要包括进程块 （EPROCESS ）、进程环境块 （PEB ）、线程块 （ETHREAD ）、线程环境块 （TEB ）， 它们之间的关系如下图： （1 ） 进程块（ EPROCESS ）：每个 Windows 进程通过进程块来描述，其中包含于进程相关的属性，同时还指向其 他的数据结构。 （2 ） 进程环境块（ PEB ）：存放进程信息，每个进程都有自己的 PEB 信息。位于用户地址空间。在 Win 2000 下， 进程环境块的地址对于每个进程来说是固定的，在 0x7FFDF000 处，这是用户地址空间，所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 0x1b0 偏移处获得，但由于 EPROCESS 在系统地址空间，访问这个结构需要有 ring0 的 权限。还可以通过 TEB 结构的偏移 0x30 处获得 PEB 的位置， FS 段寄存器指向当前的 TEB 结构： mov eax,fs:[0x30] mov PEB,eax 在用户态下 WinDbg 中可用命令 $proc 取得 PEB 地址。 （3 ） 线程块（ ETHREAD ）：Windows 线程通过线程执行体来描述，除了 TEB 之外的结构都位于内核地址空间。 （4 ） 线程环境块（ TEB ）：系统在此 TEB 中保存频繁使用的线程相关的数据。位于用户地址空间，在比 PEB 所在 地址低的地方。进程中的每个线程都有自己的一个 TEB 。一个进程的所有 TEB 都以堆栈的方式，存放在从 0x7FFDE000 开始 的线性内存中，每 4KB 为一个完整的 TEB ，不过该内存区域是向下扩展的。在用户模式下，当前线程的 TEB 位于独立的 4KB 段，可通过 CPU 的 FS 寄存器来访问该段，一般存储在 [FS:0] 。在用户态下 WinDbg 中可用命令 $thread 取得 TEB 地址。 FS 寄存器保存了 TEB 结构的指针， TEB 结构如下： 位置 长度 描述 FS:00 4 当前结构化异常处理帧 … FS:20h 4 进程 ID FS:24h 4 线程 ID … FS:30h 4 PEB 的线性地址 …