本文介绍了Windows环境子系统的概念及工作原理,包括不同子系统如何访问系统服务接口、子系统DLL的角色、子系统启动过程等关键信息。
环境子系统用于暴露windows执行体的一部分服务。不同的子系统可以看到不同的系统服务接口。一个子系统下的应用程序能做的事情,另外一个不一定能,如windows程序不能调用fork函数。
exe只能绑定到一个子系统相。当exe运行时,系统会检查它文件头中的子系统类型标志,并启动对应的子系统。通过VC的/subsystem开关可以指定子系统。
前面提到,用户程序不直接调用windows系统服务,而是通过子系统dll来进行,后者导出对应的接口。如windows子系统dll(kernel32.dll advapi32.dll user32.dll gid32.dll)实现了Windows API。SUA子系统dll(psxdll)实现了SUA API。
查看映像的子系统类型
记事本的子系统是GUI,cmd的子系统是Console,虽然有所不同,但他们都是windows子系统。GUI可以有控制台,控制台程序也可以有GUI。
当程序调用子系统dll的功能时,会出现以下三种情况
函数全部功能位于环境子系统的用户模式。这种情况下,不用向环境子系统进程发消息,也没有调用执行体系统服务。函数在用户模式下执行,结果返回给调用者。如GetCurrentProcess(总是返回-1,进程相关函数认为是当前进程),GetCurrentProcessID(进程id创建后不再修改,所以系统缓存了一个值,避免发起内核调用)
需要调用windows执行体。ReadFile/WriteFile会调用windows io系统服务NtReadFiel和NtWriteFile。
需要在环境子系统里面进行一些处理。用户模式下运行的环境子系统进程,,负责维持用户程序的状态。通过向环境子系统发送消息来完成客户端/服务器请求。环境子系统dll会等待操作完成后返回。
一些函数,比如说CreateProcess和CreateThread是2-3的结合。
子系统启动
子系统通过smss.exe启动。子系统信息保存在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems下面。
required列出了系统启动时的子系统。它有两个值:Windows 和Debug.。Windows包含了windows子系统的文件名 csrss.exe,Debug为空,仅用于内部测试。Optional说明SUA会按需启动。Kmode代表windows子系统的内核部分,Win32k.sys.
扫一扫
636
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
