Windows系統(tǒng)總體架構

作為最流行的的桌面操作系統(tǒng)，Windows系統(tǒng)的發(fā)展在經歷數次硬件革命之后，其系統(tǒng)架構也基本穩(wěn)定，微軟號稱Windows 10是最后一代操作系統(tǒng)，并統(tǒng)一了Windows各版本的底層架構。

????Windows系統(tǒng)是分層的架構，主要分為內核態(tài)和用戶態(tài)，內核態(tài)自下而上分為硬件抽象層（HAL）->內核和驅動層->執(zhí)行體，以及窗口管理系統(tǒng)。用戶態(tài)主要是NTDLL抽象層，以及各種進程，如：底層的系統(tǒng)支持進程->服務進程->用戶應用程序，如圖所示：

Ntdll.dll

????Ntdll.dll是一個特殊系統(tǒng)支持庫，主要用于子系統(tǒng)dll，主要包含兩種類型函數：

• 系統(tǒng)服務分發(fā)存根，調用Windows執(zhí)行體系統(tǒng)服務
• 內部支持函數，供子系統(tǒng)，子系統(tǒng)dll，以及exe映像文件使用
  Ntdll.dll里面提供的函數大多未文檔化，并以Nt開頭命名。

環(huán)境子系統(tǒng)

????環(huán)境子系統(tǒng)就是針對Windows不同版本（如：Windows 7 旗艦版，Windows Server2008 R2這種）上的運行環(huán)境。每個exe可執(zhí)行映像，未必可在所有版本Windows系統(tǒng)上運行。VC++中l(wèi)ink命令的/SUBSYSTEM修飾符可以指定該exe映像的可執(zhí)行環(huán)境（如：dll集）。

????環(huán)境子系統(tǒng)進程Csrss.exe(Client/Server Run-Time Subsystem)就是客戶機/服務器運行時子系統(tǒng)，子系統(tǒng)是會話管理器（Smss.exe）進程起來的。

系統(tǒng)進程

• Idle進程（特殊進程，其實是CPU空閑時間）
• System進程（特殊進程，包含大多數內核模式系統(tǒng)進程）
• 會話管理器（Smss.exe）
• 本地會話管理器（Lsm.exe）
• 會話0初始化（Wininit.exe）
• 登錄進程（Winlogon.exe）
• 服務控制管理器（Services.exe）
• 本地安全認證服務器（Lsass.exe）

Windows執(zhí)行體

????Windows執(zhí)行體是Ntoskrnl.exe的上層（其下層是內核），主要包含以下組件：

• 配置管理器
• 進程管理器
• 安全引用監(jiān)視器
• I/O管理器
• 即插即用（Pnp）管理器
• 電源管理器
• Windows驅動程序模型
• 緩存管理器
• 內存管理器
• 對象管理器

內核

????內核是Ntoskrnl.exe的下層，主要包括：

• 內核對象
• 內核處理器控制區(qū)和控制塊
  此處較為復雜，后面還有專門文章講解

設備驅動程序

????設備驅動程序運行在內核模式下，主要為發(fā)起I/O請求的用戶線程中，設備驅動程序主要分為以下幾種：

• 硬件設備驅動
• 文件系統(tǒng)驅動
• 文件系統(tǒng)過濾驅動
• 其他：（網絡重定向，協(xié)議驅動，內核流失過濾驅動）
  驅動程序框架：
• 早期的WDM，對應DDK開發(fā)工具包
• 基于WDM封裝的WDF框架，對應WDK開發(fā)工具包

硬件抽象層（HAL）

????硬件抽象層是的Windows可以被移植到各種硬件平臺，它是一個可加載的內核模塊，針對不同的硬件平臺，提供了統(tǒng)一的服務接口。