用户态
  用户态有四类组件,这四类组件都是以进程形式存在的,也是说,它们都有自己的进程地址空间(其实是一套页表)。
  1. System Support Processes
  这些是固化的进程,也是说是操作系统结合在一起的进程。
  比如logon process(winlogon.exe),Session manager(smss.exe)。

 

Session Manager          [smss.exe]
Local Session Manager       [lsm.exe]
Service Control Manager     [services.exe]
Local Security Authority     [lsass.exe]
Winlogon              [winlogon.exe]
Wininit               [wininit.exe]

  它们都不属于service,因为它们都不是由SCM(Service Control Manager)启动的。
  lsass.exe和lsm.exe是service。
  2. Service Processes
  Service进程是由SCM启动的,它们与user logon是独立的,因为有些service的启动时机比winlogon.exe还早。
  Task Scheduler和Print Spooler都是services。
  Service Host    [svchost.exe]
  3. User Applications
  是常说的应用程序。
  4. Environment Subsystem Server Processes
  是常说的“环境子系统”,也是“Win32子系统”。
  [csrss.exe]
  Subsystem Dynamic Libraries
  由四个dll组成:
  Kernel32.dll
  Advapi32.dll
  User32.dll
  Gdi32.dll
  它们实际上是Service Processes和User Applications的一部分,以dll的形式加载到它们的进程地址空间中去的。
  它们的作用是向Service Processes和User Applications提供Win32 API接口。
  Win32 API在实现上分为三类:
  1. 完全在这四个dll的内部实现。
  2. 通过这四个dll,调用更加底层的(内核态,比如内核或者驱动)实现。
  3. 这四个dll与Environment Subsystem Server Processes建立C/S通信模型,dll作为client请求Win32子系统的server进程(用户态进程)来提供相应的实现。
  内核态
  内核态组件分为以下几类:
  1. Windows Executive
  可以理解为内核态的管理程序,其实是各个模块子系统。
  比如内存管理模块,进程与线程管理模块,安全模块,IO模块,网络模块,以及进程间通信模块。
  2. Windows Kernel
  狭义上的内核,提供内核态中的核心操作,比如线程调度与切换,中断和异常的分发与处理,以及多处理的同步等等。
  它其实是一组函数的集合。
  3. Device Driver
  内核态驱动。