windows内核文件在哪

Posted 2023-04-19

C盘
├—WINDOWS
│ ├—system32（存放Windows的系统文件和硬件驱动程序）
│ │ ├—config（用户配置信息和密码信息）
│ │ │ └—systemprofile（系统配置信息，用于恢复系统）
│ │ ├—drivers（用来存放硬件驱动文件，不建议删除）
│ │ ├—spool（用来存放系统打印文件。包括打印的色彩、打印预存等）
│ │ ├—wbem（存放WMI测试程序，用于查看和更改公共信息模型类、实例和方法等。请勿删除）
│ │ ├—IME（用来存放系统输入法文件，类似WINDOWS下的IME文件夹）
│ │ ├—CatRoot（计算机启动测试信息目录，包括了计算机启动时检测的硬软件信息）
│ │ ├—Com（用来存放组件服务文件）
│ │ ├—ReinstallBackups（电脑中硬件的驱动程序备份）
│ │ ├—DllCache（用来存放系统缓存文件。当系统文件被替换时，文件保护机制会复制这个文件夹下的文件去覆盖非系统文件）
│ │ ├—GroupPolicy（组策略文件夹）
│ │
│ ├—system（系统文件夹，用来存放系统虚拟设备文件）
│ ├—$NtUninstall$（每给系统打一个补丁，系统就会自动创建这样的一个目录，可删除）
│ ├—security（系统安全文件夹，用来存放系统重要的数据文件）
│ ├—srchasst（搜索助手文件夹，用来存放系统搜索助手文件，与msagent文件夹类似）
│ ├—repair（系统修复文件夹，用来存放修复系统时所需的配置文件）
│ ├—Downloaded Program Files（下载程序文件夹，用来存放扩展IE功能的ActiveX等插件）
│ ├—inf（用来存放INF文件。INF文件最常见的应用是为硬件设备提供驱动程序服务，不建议删除其中文件）
│ ├—Help（Windows帮助文件）
│ ├—Config（系统配置文件夹，用来存放系统的一些临时配置的文件）
│ ├—msagent（微软助手文件夹，存放动态的卡通形象，协助你更好地使用系统。若觉的没有必要，可直接删除）
│ ├—Cursors（鼠标指针文件夹）
│ ├—Media（声音文件夹，开关机等wav文件存放于此）
│ ├—Mui（多语言包文件夹，用来存放多国语言文件。简体中文系统中这个文件夹默认是空的，但不建议删除此文件夹）
│ ├—java（存放Java运行的组件及其程序文件。不建议删除其中文件）
│ ├—Web
│ │ ├—Wall*****（存放桌面壁纸的文件夹）
│ │
│ ├—addins（系统附加文件夹，用来存放系统附加功能的文件）
│ ├—Connection Wizard（连接向导文件夹，用来存放“Internet连接向导”的相关文件）
│ ├—Driver Cache（驱动缓存文件夹，用来存放系统已知硬件的驱动文件）
│ │ └—i386（Windows操作系统自带的已知硬件驱动文件，可删除以节省空间）
│ ├—TEMP（系统临时文件夹，其中内容可以全部删除）
│ ├—twain_32（扫描仪相关）
│ ├—AppPatch（应用程序修补备份文件夹，用来存放应用程序的修补文件）
│ ├—Debug（系统调试文件夹，用来存放系统运行过程中调试模块的日志文件）
│ ├—Resources（系统资源文件夹，用来存放系统SHELL资源文件，就是我们在桌面上所看到的主题）
│ │ └—Themes（桌面主题都存放于此，可删除无用主题）
│ ├—WinSxS（存储各个版本的Windows XP组件，减少因为DLL文件而引起的配置问题）
│ ├—ime（输入法信息）
│ ├—PCHealth（用来存放协调、配置和管理计算机正常运行的文件）
│ │ └—HelpCtr（帮助和支持）
│ │ ├—Binaries（我们常用的msconfig就在这里哟）
│ ├—Offline Web Pages（脱机浏览文件存放于此）
│ ├—Prefetch（预读取文件夹，用来存放系统已访问过的文件的预读信息(此信息是系统在访问时自动生成的新信息)，以加快文件的访问速度，其扩展名为“PF”。可以将此文件夹中的文件删除）
│ ├—ShellNew
│ ├—Fonts（字体文件夹。要安装某种字体只需将字体文件复制到该目录下即可）
│ ├—pss（用来备份系统启动配置文件的，一般对“Boot.ini”、“System.ini”和“Win.ini”三个文件进行备份，扩展名为“backup”。如果系统原有的这三个文件损坏的话，可以从这里进行恢复。不建议删除）
│ ├—Registration（注册文件夹，用来存放用于系统COM＋或者其他组件注册的相关文件。不建议删除这里的文件）
│ └—Downloaded Installations（存放一些使用Windows Installer技术的安装程序，主要用来对程序进行修复等操作）
├—Documents and Settings
│ ├—Default User
│ │ ├—Application Data（通用应用程序数据文件夹。此处存放着已经安装的一些应用程序的专用数据）
│ │ ├—桌面
│ │ ├—Favorites（收藏夹）
│ │ ├—NetHood（网络共享目录）
│ │ ├—My Documents（我的文档）
│ │ ├—PrintHood（打印共享目录）
│ │ ├—Recent（最近打开的文档）
│ │ ├—SendTo（鼠标右键的发送到）
│ │ ├—「开始」菜单
│ │ ├—Templates（模板文件夹，可能有Word、Excel等的模板文件）
│ │ └—Local Settings
│ │ ├—Application Data
│ │ └—Temp（临时文件目录。在系统和软件的运行过程中产生的临时文件就存放在于此。需定期清理）
│ │ └—Temporary Internet Files（Internet临时文件夹。需定期清理）
│ ├—All Users（所有用户文件夹，这里的更改对所有用户有效）
│ └—Administrator（系统管理员帐户的文件夹）
├—Program Files
│ ├—Common Files（共享的应用程序文件存放于此）
│ ├—Internet Explorer（IE浏览器）
│ ├—ComPlus Applications（COM+ 组件的配置和跟踪，一般为空）
│ ├—Windows Media Player（WINDOWS媒体播放器）
│ ├—WindowsUpdate（用于Windows的升级，可删除）
│ ├—InstallShield Installation Information
│ ├—Uninstall Information（存放软件反安装信息，删除后可能导致部分软件无法卸载）
├—wmpub（windows media service的目录）
├—boot（一键还原等软件的文件夹）
├—Inetpub（IIS文件夹）
├—Downloads(Flashget默认下载文件夹)
├—System Volume Information(系统还原文件夹)
└—TDdownload（迅雷默认下载文件夹

不知道有没有用.... 参考技术A window xp 在/window/下,用window自带的搜索功能,搜索以下几个文件就知道有多少处要写给你了.
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
nt内核：即ntoskrnl.exe/ ntkrnlmp.exe/ ntkrnlpa.exe/ ntkrpamp.exe
win32k内核：即win32k.sys
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
就XP SP3来说，nt内核就有以下几种历史版本
5.1.2600.5512 (xpsp.080413-2111)
5.1.2600.5657 (xpsp_sp3_gdr.080814-1236)
5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)
5.1.2600.5781 (xpsp_sp3_gdr.090321-1317)
除了gdr版本外，还有qfe版本。

win32k内核
5.1.2600.5796 (xpsp_sp3_gdr.090417-1242)
win32k.sys不管系统是PAE还是非PAE，单CPU还是多CPU，都是win32k.sys，这点不会给我们造成困扰。但是ntkrnl就不一样了。对于上面说的nt内核的每1个历史版本，它都有4种版本，分别是
PAE 多CPU
ntoskrnl.exe N N
ntkrnlmp.exe N Y
ntkrnlpa.exe Y N
ntkrpamp.exe Y Y
(假如你在windows\system32下没找到这4个文件的话，你可以到C:\WINDOWS\Driver Cache\i386里去找sp2.cab或sp3.cab，然后
expand sp2.cab -F:ntoskrnl.exe c:\windows\system32)

当系统从单CPU升级为多CPU时，windows会“提示找到新硬件”，用多核的nt内核文件覆盖当前单核nt内核文件，并重新启动，启动后就用上多CPU的nt内核，但当从多CPU降为单CPU时，仍然在使用多CPU的nt内核，所以，我们不能根据系统中当前有几个CPU来判断当前是用哪个内核文件。但是可以用当前是否为PAE模式来判断当前内核文件。 参考技术B 1、ntoskrnl.exe
文件位于C:\Windows\System32下，介绍为NT kernel & System（NT内核和系统），存放用于调度系统的命令
2、ntdll.dll
文件位于C:\Windows\System32下，介绍为NT层DLL，存放Windows的系统API和函数 参考技术C C-windows-system

linux的Documentation在哪

1、要找magic-number.txt吗？
内核源码目录/Documentation/magic-number.txt
标准linux：在/usr/src目录中找（如果你安装了源码的话）。
2、或者你找的是它：/usr/share/file/magic 参考技术A 找不到就上网下载追问

我需要了解这个文件的设备幻数，这个幻数是内核动态显示的，所以需要查看这个文件