windows内核的分析(2)

*E1000000-E57FFFFF
分页池。这个区域可以换出到磁盘上。操作系统中的大多数对象都在这个区域中产生。实际上一些内存池位于这个区域中。

*FB000000-FFDFEFFF
不可换出页的区域，即非分页区（Non Paged Poll）。这个区域中的数据永远不能换出到磁盘上。这个区域中的数据总是系统必需的数据。例如，这里有进程与线程的信息块（Thread environment block, Process Environment block）。

*FFDFF000-FFFFFFFF
PCR - Processor Control Region (进程控制域) 用于每一个进程。这个区域中保存着PCR结构体。在此结构体中保存着系统状态的信息。例如，关于IRQL、当前线程、IDT等的信息。

低2G线性地址空间（00000000-0FFFFFFFF）为进程用户模式的地址空间（每个进程自己的空间）。Win32地址空间看上去一般是下面这个样子：

*00000000-0000FFFF
保护区域。访问此区域会引发异常。被用于检测NULL指针。

*00xx0000
通常，应用程序加载在这样的地址上。

*70000000-78000000
Win32子系统的库通常映射到这里。

*7FFB0000-7FFD3FFF
代码页。

*7FFDE000-7FFDEFFF
用户模式的Thread Environment Block。

*7FFDF000-7FFDFFFF
用户模式的Process Environment Block。

*7FFE0000-7FFE0FFF

共享数据区。

*7FFFF000-7FFFFFFF
保护区域。

02.Windows NT与FLAT模型
===========================

自i286开始，在Intel的处理器里实现了四级保护机制，相应的就有四个特权级。代码与数据能够拥有某级别的特权。这样，应用程序、系统程序、内核等等都运行在自己的特权级上，而且不能随意访问比自己特权级高的代码和数据。实际上没有一个基于Intel处理器的操作系统能用到所有的四个特权级（不为人知的那些不算在内）。Windows NT操作系统也不例外，只用到了两个特权级（ring）。0级（最高特权级）下运行内核，3级（最低特权级）为用户级。Intel处理器提供了强大的内存分段机制，其与特权级一起实现了直到段级的保护（例如，程序的每一个逻辑段都可以由一个描述符表来描述）。但是Windows NT实现的是FLAT模型。这就将选择子的使用降到了最低限度。处理器的全局描述符表GDT（Global Descriptor Table），由Windows NT操作系统管理，其包含以下描述符（由SoftIcea得到）：

Sel. Type Base Limit DPL Attributes
GDTbase=80036000 Limit=03FF
0008 Code32 00000000 FFFFFFFF 0 P RE
0010 Data32 00000000 FFFFFFFF 0 P RW
001B Code32 00000000 FFFFFFFF 3 P RE
0023 Data32 00000000 FFFFFFFF 3 P RW
0028 TSS32 8024D000 000020AB 0 P B
0030 Data32 FFDFF000 00001FFF 0 P RW
003B Data32 7FFD9000 00000FFF 3 P RW
0043 Data16 00000400 0000FFFF 3 P RW
0048 LDT E1190000 000001FF 0 P
0050 TSS32 80149F60 00000068 0 P
0058 TSS32 80149FC8 00000068 0 P
0060 Data16 00022940 0000FFFF 0 P RW
0068 Data16 000B8000 00003FFF 0 P RW
0070 Data16 FFFF7000 000003FF 0 P RW
0078 Code16 80400000 0000FFFF 0 P RE
0080 Data16 80400000 0000FFFF 0 P RW
0088 Data16 00000000 00000000 0 P RW