第七章——Windows内核基础-内核理论基础(内存空间布局,Windows与内核启动过程)
Posted tempt
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了第七章——Windows内核基础-内核理论基础(内存空间布局,Windows与内核启动过程)相关的知识,希望对你有一定的参考价值。
1.内存空间布局
X86系统支持32位寻址,因此支持2^32=4GB的虚拟内存空间,windwos系统的内存主要分为内核空间和应用层空间
每部分占2GB,其中包括一个64KB的NULL空间以及非法区域。
windows内存的逻辑地址分为两部分:
段选择符和偏移地址,CPU在进行地址翻译的时候,先通过分段机制计算出一个线性地址,在通过页表机制将线性地址映射到物理地址,再从物理内存中读取数据和指令
X64的内存布局与X86的内存布局类似,X64下存在一些空洞,并且X64的最大寻址空间为2^64KB的寻址空间
但是实际上X64的空间太大,很多没有用到。X64下一般只支持到40多位
2.Windows与内核启动过程
windows启动步骤如下:
⑴启动自检阶段
打开电源时,计算机先从Bios中载入指令,然后进行一系列的自检操作,进行硬件的初始化检测(硬盘,键盘等等),同时在屏幕上显示信息
⑵初始化启动阶段
自检完成后,根据CMOS设置,BIOS加载启动盘,将主引导记录(MBR)中的引导代码载入内存执行,接着,启动过程由MBR执行,启动代码搜索MBR中的分区表
找到活动分区,将第一个扇区中的引导代码载入内存,引导代码检测当前使用的文件系统,查找ntldr文件,找到之后将启动它,BIOSde 控制权交给ntldr,由ntlad完成操
作系统的启动工作(windows7是bootmgr)
⑶Boot加载阶段
这里启动分区加载ntldr,然后对ntldr进行如下设置
①设置内存模式,如果是32位操作系统,设置32-bit flat memory, 64位反之
②启动一个简单的文件系统,定位boot.ini. ntoskrnl.Hal等启动文件
③读取boot.ini文件
⑷检测和配置硬件阶段
在这个阶段会检查和配置一些硬件设备,显示适配器,键盘,磁盘,鼠标等等
⑸内核加载阶段
ntldr将首先加载windows内核Ntoskrnl.exe和硬件抽象层(HAL).HAL会对硬件底层的特征进行隔离,为操作系统提供统一接口,接下来 ntldr从注册表读取驱动程序,
依次加载驱动,初始化底层设备驱动,在注册表中找start键的值为0和1的设备驱动 ,start键的值为0.1.2.3.4,数值越小,启动越早。0表示内核刚刚初始化,此时加载的都是与系统核心有关的重要驱动程序。1表示稍晚一些 ,2是从登录界面出现的时候,3表示需要手动加载,4表示禁止加载
⑹windows的会话管理启动
驱动程序记载完成,内核会启动会话管理器,这是smss.exe的程序,是windows系统中第一个创建的进程,作用:
1.创建系统环境变量
2.加载win32k.sys 它是windows子系统的内核模式部分
3.启动csrss.exe ,它是windows子系统的用户模式部分
4.启动winlogon.exe(后面解释)
5.创建虚拟内存页面文件
6.执行上次重启前未执行的重命名工作
⑺登陆阶段
windows子系统启动的winlogon.exe系统服务提供对windows用户的登陆和注销,可以完成如下操作:
1.启动服务子系统(services.exe) 也称服务控制管理器 SCM
2.启动本地安全授权(LSA)过程
3.显示登陆界面
登陆过程中对用户的账号密码传递给LSA后,通过之后,用户就可以操作windows系统
win7和XP在启动过程中的区别
- BIOS通过自检后,将MBR载入内存并执行,引导代码找到管理器Bootmgr
- Bootmgr寻找活动分区Boot文件夹中的启动配置数据BCD文件,读取对应的语言启动菜单,然后再屏幕上显示多操作系统选择画面
- 选择win7后,Bootmgr就会读取系统文件 winload(在system文件夹中)
- 此时系统的执行权都交给winload, winload加载win7的内核,硬件,服务等等,然后加载桌面信息,从而启动系统
新一代的系统引导方式UEFI和GPT
上面说的系统引导与启动,主要借助BIOS和MBR完成系统的引导和启动,具有一定的局限性,局限性:磁盘逻辑块地址是32位,最多表示2^32个扇区,
而且每个扇区大小一般都是512字节,所以最多支持2^32*521=2*2^20字节(2TB)在BIOS中,启动操作系统之前必须从硬盘上读取扇区中读取启动代码,然后从分区中引导启动操作系统,对扇区的操作远不上分区中文件的操作那样简单
为了打破BIOS和MBR引导的局限,新的UEFI和GPT。
UEFI:统一的可扩展固件接口。在UEFI中,用于表示LBA的地址还是64位,突破了BIOS和MBR分区容量问题,UEFI本身就是一个操作系统,具有文件系统,能够直接读取FAT中的文件,可以将windwos安装程序做成efi类型的应用程序,然后放到任意分区直接运行,在UEFI中不需要引导操作,不需要活动分区,只需要在FAT32分区活在U盘中,通过这个分区或者U盘启动windows
与MBR分区表比,GPT(全区唯一标识分区表)对分区数量没有限制,但是windows还是将GPT将分区限制到128个,GPT可管理磁盘大小达到18EB,因此只有基于UEFI平台的主板才支持GPT分区引导启动
以上是关于第七章——Windows内核基础-内核理论基础(内存空间布局,Windows与内核启动过程)的主要内容,如果未能解决你的问题,请参考以下文章
2017-2018-2 20179305《网络攻防技术》第七周作业