flukeshen的博客

　　I/O管理器创建一个IRP(I/O request packet)来代表一个I/O操作，并且将该IRP传递给正确的驱动程序。同时，I/O管理器中也提供了许多其他驱动程序都会使用到的通用的例程。　　如果一个驱动程序需要应用程序能够打开该设备对象，必须在\Global??(Win2K中为\??)目录中创建一个符号链接，并且使它指向\Device目录中的该设备对象的名称。　　快速I/O是一种特...

　　32位的应用程序，开启大地址空间标志的情况下，在64位Windows系统可用4GB的内存空间(32位系统上最多达3G)。　　内存管理器是Windows执行体的一部分(位于Ntoskrnl.exe中)，主要由：　　一组执行体系统服务，负责分配、释放和管理虚拟内存；　　提供内存管理异常中的，转译无效陷阱处理器，以及访问错误陷阱处理器；　　工作集管理器(优先级16)，驻留在物理内存的部分称...

　　一个EPROCESS块表示一个进程，位于系统空间，但EPB(环境进程块)位于用户空间中，因为其中有些信息需要用户模式的代码来修改。　　EPROCESS的第一个成员为KPROCESS(内核进程块)，内核进程块中存放着与调度有关的信息。　　与进程有关的内核变量：　　PsActiveProcessHead 进程块的列表头　　PsIdleProcess 空闲(Idle)进程块　　PsIni...

　　x86引导过程：　　每个硬盘可以包含多达4个主分区，每个主分区内最多可分配4个额外的分区(扩展分区)，扩展分区又可以包含扩展分区，所以扩展分区的数量是没有限制的。　　引导过程中涉及的组件：　　主引导纪录(MBR,Master Boot Record)代码 读入和加载分区的引导扇区　　引导扇区 读入根目录，加载Ntldr　　Ntldr 读入Boot.ini，加载Ntoskrnl.exe...

　　注册表是一个数据库，其结构类似于磁盘卷的结构。注册表6个根键中其实有3个根键是REG_LINK类型的符号链接。　　HKEY_CURRENT_USER，包含当前本地登陆用户的参数和软件配置有关的数据，文件位于\Document and Setting\用户名\Ntuser.dat中。这是一个链接，指向HKEY_USERS下该用户的子键。　　HKEY_USERS，为系统中每个加载的用户轮廓和用...

　　Windows提供的机制有：　　陷阱分发，包括中断、延迟过程调用、异步过程调用、异常分发，以及系统服务分发；　　执行体对象管理器；　　同步，包括自旋锁、内核分发器对象，以及等待是如何实现的；　　系统辅助线程；　　其他的机制，如Windows全局标志；　　本地过程调用；　　内核事件追踪；　　Wow64。　　dt nt!_ktrap_frame查看陷阱帧(trap frame)...

　　Windows内核模式组件有：Windows执行体(executive)、Windows内核(kernel)、设备驱动程序(device drivers)、硬件抽象层(HAL)、窗口和图形系统(User32.dll及Gdi32.dll的内核实现)。　　其中执行体在最上层，提供基本的操作系统服务，由中层的内核与驱动程序所支持，最下层为硬件抽象层隔离平台硬件差异。窗口和图形系统移进内核是当时为了...

　　Windows NT和Window 95的差异比较，NT在性能上支持多处理器，支持访问安全性，纯32位代码，程序地址空间保护。总而言之Windows 95除了是从16位代码发展而来，可以完全兼容运行DOS时代的程序，其他方面都没有任何优势。（哎，现在的脚本小孩们有谁用过Win95和DOS呢，本书还提及了当时代号为“Longhorn”下一代Windows系统，就是后来惨败的Vista，不得不说时...