摘要：Windows PE 文件格式设计原理 Windows 可执行程序采用 PE（Portable Executable）格式，其布局设计体现了操作系统工程的多重考量。PE 格式核心特性包括： 直接内存映射：通过节区对齐和相对虚拟地址(RVA)设计，支持文件到内存的直接映射，实现高效加载。 模块化结构： 代码与数据分离（.text/.data节区） 资源独立管理（.rsrc） 16项数据目录支持

摘要 本章深入解析Windows内核中线程创建的核心系统调用NtCreateThread()。线程作为基本执行单元，其创建过程涉及多个关键子系统协作，包括内存分配、对象管理、调度器集成等。分析框架展示了从用户态API到内核实现的完整调用链，重点剖析了PspCreateThread()的14个核心步骤，涵盖线程对象创建、内核栈/用户栈分配、TEB设置等关键环节。通过理解线程创建机制，可以掌握操作系统

Windows进程用户空间与核心数据结构分析 本文详细介绍了Windows操作系统中进程用户地址空间的布局及其核心数据结构。主要内容包括： 用户地址空间布局： 32位系统默认2GB用户空间划分（NULL指针保护区、用户代码/数据区、共享数据区等） 64位系统~8TB用户空间布局特点 关键地址区域说明（PEB/TEB固定位置、DLL加载基址等） 核心数据结构： PEB(进程环境块)：相当于进程的"身

文章摘要： Windows对象安全模型通过访问控制和句柄继承实现权限管理。访问控制基于令牌（Token）和安全描述符（SECURITY_DESCRIPTOR）实现，包含6步决策流程：先检查内核模式特权，再验证用户身份，最后遍历DACL权限列表进行精确授权。同时支持特权检查（如SeDebugPrivilege等）。句柄继承机制则控制对象在进程间的传递方式，二者共同构成了Windows对象安全的基础架

Windows/ReactOS 句柄管理框架解析 本文详细阐述了 Windows/ReactOS 操作系统中的句柄管理体系，通过三级页表式结构实现高效的对象访问控制。系统采用分层设计： 用户态句柄：32/64位值包含索引和标志位 内核句柄表：每个进程独有，通过TableCode指向三级结构 三级索引机制：类似x86页表，包含Level 0-2的层级关系 句柄表项：16字节结构存储对象指针和访问权限

文章摘要 本文是Windows内存管理系列的下篇，重点探讨了虚拟内存的工程实现机制，包括页面换出、文件内存映射(Section)和内核内存池管理三大核心功能。主要内容包括： 页面换出机制：当物理内存不足时，系统通过LRU策略将不活跃页面从工作集逐步移至Standby/Modified列表，最终异步写入pagefile.sys。关键流程涉及工作集修剪、内存压力触发和后台写回线程。 状态转换模型：详细

摘要：Windows内核系统调用机制 本章深入剖析了Windows内核中用户态与内核态的对话机制——系统调用。系统调用是现代操作系统的核心机制，允许受限的用户态程序通过受控通道请求内核服务。 核心要点： 特权隔离： ring 0（内核态）：完全控制硬件和内存 ring 3（用户态）：受限执行环境 Windows仅使用ring 0和ring 3 三种穿越边界机制： 系统调用（用户主动请求） 异常（C

本文介绍了Windows操作系统的发展历程与内核架构。主要内容包括： Windows两条发展路线： 9x系列：基于DOS的16/32位混合架构，稳定性差 NT系列：全新设计的32位保护模式内核，现代Windows均基于此 NT内核架构特点： 用户空间(ring3)与系统空间(ring0)分离 采用抢占式多任务、分页内存管理等现代特性 通过系统调用实现用户态到内核态的切换 研究选择： 以Window

本文介绍了Windows操作系统的发展历程与内核架构。主要内容包括： Windows两条发展路线： 9x系列：基于DOS的16/32位混合架构，稳定性差 NT系列：全新设计的32位保护模式内核，现代Windows均基于此 NT内核架构特点： 用户空间(ring3)与系统空间(ring0)分离 采用抢占式多任务、分页内存管理等现代特性 通过系统调用实现用户态到内核态的切换 研究选择： 以Window

2. **User32.dll** 窗口管理：窗口创建、消息循环、菜单、按钮、控件、桌面交互。3. **Gdi32.dll** 图形设备接口：绘图、字体、位图、窗口渲染、打印。--- # 三、内核态（Kernel Mode）核心架构（NT 内核本体） 内核态由 **4 大层级** 组成，从上至下依次为：**执行体 → 内核核心 → 驱动程序 → HAL** ## 1. 系统执行体（Executiv