软件调试笔记11 - Windows概要:内核模式和用户模式

最新推荐文章于 2024-09-02 10:30:05 发布
原创 最新推荐文章于 2024-09-02 10:30:05 发布 · 541 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Windows操作系统中的两种访问模式——用户模式和内核模式,并详细解释了如何通过软中断或快速系统调用指令进行模式切换。此外,还讨论了逆向调用的过程,即内核态代码如何调用用户态的代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WINDOWS有两种访问模式:用户模式和内核模式。用户模式下的代码不可以直接访问系统空间的数据,也不可以直接调用系统空间中的任何函数,否则会导致保护性错误。但用户程序可以通过调用系统服务来间接访问系统空间的数据或者间接调用执行系统空间的代码。当调用系统服务时,调用线程会从用户模式切换到内核模式,调用结束后再返回到用户模式,也就是所谓额的模式切换,即上下文切换。在每个线程的KTHREAD结构中,有一个名为ContextSwitches的字段,专门用来记录这个线程模式切换的次数。

模式切换是通过软中断或者专门的快速系统调用Fast System Call指令来实现的。


使用INT 2E切换到内核模式

下图是一个应用程序调用ReadFile API的过程。



在用户模式切换到内核态之前,会做好一些工作:

1. 权限检查,检查源位置和目标位置所在的代码段权限,核实是否可以转移

2. 准备内核态使用的栈,为了保证内核安全,所有线程在内核态执行时都必须使用内核空间的内核栈,kernel stack, 一般大小是8KB或者12KB。


快速系统调用流程



逆向调用

内核态的代码也可以调用用户态的代码,即所谓的逆向调用。逆向调用的过程大致如下,首先内核代码使用内核函数KiCallUserMode发起调用,接下来的执行过程与从系统调用返回时类似,不过进入用户态执行的是NtDll的KiUserCallbackDispatcher。然后会调用内核希望调用的用户态函数。当用户态工作完成后,执行返回动作的函数会执行INT 2B指令,触发一个0X2B异常,这个异常的处理函数是内核态的KiCallbackReturn函数,于是通过INT 2B异常,CPU又回到了内核态。

Win11内核调试环境搭建
weixin_37665575的博客
11-22 6228
文章目录VMWare新建Win11虚拟机设置Win11调试模式使用bcdedit添加调试内核选项Windbg设置 VMWare新建Win11虚拟机 目前升级到VMWare 16.2.1,但是在新建虚拟机的时候并没有发现有Win11的选项,此时还是选择Win10 x64选项。在编辑硬件的时候删除打印机,因为它占据了串口的第一位置,手动添加一个从串行端口,并选择使用命名管道,命名为“\\.\pipe\com_1”,下面选择“一端为服务器,另一端为应用程序”,并在最下面的IO模式中勾选“轮询时主动放弃”。 完成
软件调试笔记8 - Windows概要进程进程空间
imJaron的博客
11-23 706
Windows是典型的多任务操作系统,打开任务管理器,就可以看到很多正在运行的程序,这些处于运行状态的程序通常称为进程进程线程: 每个进程又称为一个任务,可以包含一个或者多个线程,每个线程又都是可以被调度执行的。所以WINDOWS系统中的任务与CPU一级的任务是不同的,CPU一级的任务相当于WINDOWS系统下的每个进程的一个线程。即WINDOWS操作系统的每个任务对应于CPU的
用户模式 VS 内核模式 转自维基百科(http://en.wikibooks.org/wiki/Windows_Programming/User_Mode_vs_Kernel_Mode)
jubincn的专栏
03-12 1760
用户模式: 通过windows启动的任何一个进程都在用户模式(user mode)下运行,在这种模式下的进程不能访问其它进程的资源,除非通过API调用。在这种模式下运行的程序不能处理中断(interrupts)环境切换(context switching)。 中断(interrupts): CPU在运行时经常被一些事件打断(interrupt),如计时器,键盘,硬盘等。这些事件就
内核模式用户模式
weixin_30800807的博客
05-19 108
对于Windows操作系统的编程一般来说已经涉及到了较深的领域,针对该问题提出几家之言,均为转载: 一、 为了防止用户程序访问并篡改操作系统的关键部分,Windows使用了2种处理器存取模式(事实上Windows运行的处理器可以支持4种模式):用户模式内核模式用户程序运行在用户模式而操作系统代码(如系统服务设备驱动程序)则运行在内核模式。在内核模式下程序可以访问所有的内存硬件,并使用所...
用户模式内核模式
远方雪的专栏
09-02 1527
Linux内核中的用户模式内核模式
内核模式 vs 用户模式
05-12 2275
海豚浏览器 2013.5. 10 号 实习生笔试 第一选择题 有关os内核模式正确的是: 内核模式中所有进程共享同一个地址空间 系统调用一定会切换到内核模式中执行 内核模式中未处理的异常会导致系统崩溃 驱动程序主要是在内核模式中执行 32位x86系统,每个进程的空间是4GB,即地址0x00000000到0xFFFFFFFF。 为了高效调用,Windows会把操
软件调试笔记9 - Windows概要进程结构:EPROCESS
imJaron的博客
11-23 748
下面,通过记事本程序来详细查看进程的每一项内容。 首先打开WINDBG并进入本地内核调试,然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程,第二个0表示基本的进程属性。 找到notepad.exe程序的内容。 EPROCESS结构: Process后面的地址指向的就是EPROCESS结构,很多时候WINDOW
软件调试笔记10 - Windows概要进程结构:令牌,PEB,ID, 句柄
imJaron的博客
11-23 640
访问令牌: TOKEN字段记录着这个进程的TOKEN结构地址,进程很多与安全有关的信息都在这个结构中。找到TOKEN字段值,然后用!Token命令查看。 也可以用dt nt!_TOKEN加上令牌地址来观察令牌对象。 PEB: PEB即进程环境块,包含了进程的大多数用户态信息。与EPROCESS结构位于内核空间的不同,PEB是在内核态建立后映射到用户空间的,因此在一个系统中,
搭建WindbgHyper-V第二代虚拟机,双机调试内核环境
赫的BLOG
09-20 4418
VMware太重了,4G内存笔记本跑起来好吃力,我的另外一台E3+16G电脑,装上VMware开机速度变得很慢,于是研究下,用windows原生的虚拟机配合Windbg双机调试 系统最低win10,记得开启bios上的虚拟化支持 第一步: 首先需要安装Windbg运行环境,访问visualstudio.com 下载最新版的VisualStudio,如果你是学习个人研究用途,就使用社区版吧,
### 文章总结:北京迅为 iTOP-3568 开发板 Linux 系统开发应用开发手册. **文档概述
最新发布
04-03
手册涵盖Buildroot、Debian、Ubuntu等多个Linux发行版的系统开发笔记,涉及屏幕设置、待机锁屏、显示颜色格式、分辨率缩放、静态IP设置、Qt程序操作、开机自启、音频视频摄像头开发、VNCToDesk远程控制软件...
理解Windows内核模式用户模式
Code搬运工
03-28 847
**内核层次架构**windows程序运行分为内核模式用户模式内核模式可以访问所有的内存地址空间, 并且可以访问所有的CPU指令。一般程序运行在用户模式, 通过系统调用切换到内核模式执行系统功能,Windows系统通过这种方式来确保系统的安全稳定。下面是内核的层次划分: 硬件抽象层(Hardware Abstraction Layer) (HAL) (hal.dll) 最底层隔离硬件的,
内核术语--内核模式用户模式,内核对象,内核调试,安全,注册表,Unicode,驱动
gnimgnot
06-23 2395
内核模式 VS 用户模式 为了防止普通的应用程序修改或访问临界区的操作系统的数据,Windows使用两种访问模式内核模式用户模式用户级别的应用程序代码运行在用户模式下,操作系统的代码运行在内核模式(比如系统服务驱动)。内核模式下有权限访问所有内存所有的CPU指令。内核模式用户模式权限高的目的是保证系统的稳定性。 注意:X86X64处理器定义了4个级别的代码执行权限(也叫做ring
理解用户模式内核模式(译)
qq_35191331的博客
07-20 7066
原文来自:https://zryfish.github.io/computer%20related/2015/08/28/user-mode-and-kernel-mode/ 28 Aug 2015 ###理解用户模式内核模式 本文出处: http://blog.codinghorror.com/understanding-user-and-kernel-mode/ 绝大
内核与用户模式
weixin_30906701的博客
11-20 175
1.Windows使用两种处理器特权级别:1.内核 2.用户 2.几乎所有的代码都在用户模式,除了操作系统硬件驱动 3.用户模式不能直接访问硬件,它被限制只能访问CPU上所有寄存器可用指令的一个子集,所以我们为了改变硬件或者修改内核中的状态,必须依赖API 4.进入内核模式的方式:SYSENTER,SYSCALL或者int 0x2E,指定一个调用进入内核 原生API: 说明:普...
Windows内核模式用户模式
Invoker's Tower
03-11 3571
运行 Windows 的计算机中的处理器有两个不同模式:“用户模式内核模式”。根据处理器上运行的代码的类型,处理器在两个模式之间切换。应用程序在用户模式下运行,核心操作系统组件在内核模式下运行。多个驱动程序在内核模式下运行,但某些驱动程序在用户模式下运行。 当启动用户模式的应用程序时,Windows 会为该应用程序创建“进程”。进程为应用程序提供专用的“虚拟地址空间”专用的“句柄表格
windows内核开发学习笔记三十六:内核概念之内核模式
jyl_sh的专栏
06-28 621
windows内核中的各个组件并非单纯的独立模块,相反地组件之间不可避免地包含着复杂的依赖关系,甚至存在着交叉调用。
Windows操作系统管理进程线程:内核模式用户模式
人邮异步社区
11-21 4322
根据前面的介绍,NT内核会把操作系统的代码数据映射到系统中所有进程的内核空间中。这样,每个进程内的应用程序代码便可以很方便地调用内核空间中的系统服务。这里的“很方便”有多层含义,一方面是内核代码用户代码在一个地址空间中,应用程序调用系统服务时不需要切换地址空间,另一方面是整个系统中内核空间的地址是统一的,编写内核空间的代码时会简单很多。但是,如此设计也带来一个很大的问题,那就是用户空间中的程序指针可以指向内核空间中的数据代码,因此必须防止用户代码破坏内核空间中的操作系统。怎么做呢?答案是利用权限控制来
Windows用户/内核模式切换
maomao171314的专栏
12-23 2126
1. Windows用户模式-内核模式切换 Windows用户模式内核模式的交互流程,如图: 以CreateFile 为例,应用程序调用kernel32.dll 的CreateFile来创建文件,CreateFile调用ntdll.dll的存根函数NtCreateFile,然后直接将创建文件的请求转交给内核的NtCreateFile。为了转到内核,ntdll.dll 的KiIntSystemCall或KiFastSystemCall 执行”int 2e”或sysenter指令,切换到内核模式下.
20170710Windows11_2_事件内核对象
蒲公英的博客
07-16 405
内核对象——事件内核对象: 事件内核对象(1) 1:线程的同步:#include #include #include #include int *g_pNum = nullptr; bool g_Using = false; void Entry()//原子操作,进入锁 { while (InterlockedExchange((long*)&g_Using, true) ==
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值