windows内核编程是干嘛

A. Windows内核编程的简介

内核程序是运行在Ring0级的，因此内核程序要比应用层上的普通Ring3级程序有更高的权限。因此内核编程的应用，往往给传统软件带来更强的功能，实现技术上的飞跃。同理，黑客们也将传统的攻击程序或潜行程序从Ring3搬到了Ring0级去，以便于更隐蔽、更有效的监视或控制目标系统（如Rootkit）。

B. 关于Windows内核编程的问题

其实Windows内核编程不但有用，而且常用。很多我们每天都使用的软件，就毫无疑问的使用了Windows内核编程的技术。最典型的就是实时监控的杀毒软件。此外还有防火墙、虚拟光驱、以及90%的驱动程序。这些程序的有一个共同的特点，他们的一部分组件，是作为Windows的一部分，能对 Windows上运行的所有的应用程序起作用。
因此内核编程的应用，往往给传统软件带来更强的功能，实现技术上的飞跃。
举个例子。我们常常听说，对文件进行加密，可以使文档更加安全。对文件加密并不需要任何内核组件。我们可以写一个应用程序，读入文件，加密数据，然后重写为一个加密文件。解密也可以同样如此。
但是实际上这并不满足一般的用户需求。对一个公司的员工来说，那些“重要的文档”很可能就是每天工作所用的文件。想象一下，他必须要每天从服务器上下载加密的文件，然后用解密工具解密。然后用Office开始工作。工作完毕后，用加密工具加密，再上传，然后删除工作文档。且不说大部分时间文档是以解密的方式保存在硬盘上的不安全性，这个工作流程是可以接受的吗？没有人会接受的。
比较“人性化”的方式就是让Office可以直接打开已经加密的文档。保存的时候，直接就保存成加密的文档。硬盘上，这个文档始终是加密的。而且对合法的用户透明。对非法的用户，则只能看见密文，从而无法编辑也无法阅读。而且也不仅仅Office,还有AutoCAD、Visual Studio、Photoshop等等用户可能用于编辑机密文件的所有的工具。这是可以实现的吗？如果我们不能去修改Office和其他的工作软件。
这当然是可以实现的。既然我们编写Windows内核程序，当然可以让Windows的文件系统从硬盘读取文件的时候，对特定的进程进行特别的解密。等这些软件读取到数据的时候，它们读到的已经是正常的数据了。这个过程和实时扫描病毒的原理是一样的，使用一个文件过滤驱动程序。这就是读者可能已经听到过的文件透明加密技术。
在和《天书夜读：从汇编语言到Windows内核编程》一书同一系列的《寒江独钓——Windows内核编程与信息安全》（预计明年出版）中，对键盘过滤、硬盘过滤、文件过滤、网络过滤等安全相关的内核编程，都有详尽的讲解和例子。
内核编程的另一个特点是：这些代码运行在R0级。R0级别是最高特权级别。对CPU有完全控制的能力。这非常的适合一些安全软件，当然也适合做破坏的工作。因为内核程序有最高（也就是根）权限，这样的技术在安全领域（或者破坏领域）被称为rootkit技术。rootkit技术是当前安全领域最热门的技术之一。
许多病毒使用了rootkit技术。用来隐藏病毒文件，窃取密码、发送攻击包等等。rootkit病毒感染后极难清除，在感染前提前防范是最有效的办法。
Windows内核确实没有公开源代码。但是MS提供Windows内核程序的开发包：WDK。WDK实际上主要用于开发驱动程序。而驱动程序基本上都是内核程序。WDK提供的头文件以及部分源代码，实际上就是Windows内核的代码的一部分。有部分驱动程序（比如FAT32文件系统）的代码是完全公开的。我们也可以在这里看到Windows内核开发者的代码风格。同时，微软也提供了所有Windows版本的符号表在网上供研究者下载。并提供了功能无比强大的调试器WinDbg。有了它们，你就可以轻松的调试Windows内核了。无论是你自己写的代码的部分，还是Windows内核开发者们编写的部分。虽然看到的是汇编语言，但是函数名和全局变量名都是存在的。而且，所有的这些（WDK、WinDBG,符号表）都是免费的。

C. windows编程主要能实现什么或者它有什么作用

一、Windows中的映射模式
1、Windows定义映射模式的目的
经过我的综合，Windows定义映射模的目的又以下几个方面：1、不同人的使用习惯。不同国家的，不同地区，以及不同的人因为习惯喜欢用不同的度量单位，有的人人喜欢用英寸，而有的人喜欢用公制中的厘米，毫米等。其他的人又喜欢用另外一些单位。、2、使软件与硬件向分离开来。让开发的软件能够最大限度的与硬件无关。3、提供逻辑和物理的一种转换。就相当于银行的利率。
2、默认的映射模式
默认的映射模式使MM_TEXT,它使以象素为单位的。X轴向左为正，Y轴向下为正。默认的坐标原点在左上角。
3、固定比例映射模式
固定比例的映射模式有MM_LOMETRIC、MM_HIMETRIC、MM_LOENGLISH、MM_HIENGLISH、MM_TWIPS种。它们默认的坐标原点都使在左上角。其区别在于每一个逻辑单位对应的物理大小不一样。所对用的逻辑单位分别为0.1毫米，0.01毫米，0.01英寸，0.001英寸，1/1440英寸（0.0007英寸）。
4、可变比例映射模式
对于可变比例的映射模式用户可以自己定义一个逻辑单位代表的大小，其大小可以任意。也可以让这个大小随环境改变而改变。有MM_ISOTROPIC，MM_ANISOTROPIC这两种映射模式。其逻辑单位的大小等于视口范围和窗口范围的比值。两者的不同在于前者要求X轴和Y轴的度量单位必须相同，而后者没有这样的限制。
二、Windows中的几种坐标体系
1、屏幕坐标
屏幕坐标描述物理设备（显示器、打印机等）的一种坐标体系，坐标原点在屏幕的左上角，X轴向右为正，Y轴向下为正。度量单位是象素。原点、坐标轴方向、度量单位都是不能够改变的。
2、设备坐标（又称物理坐标）
设备坐标是描述在屏幕和打印机显示或打印的窗体的一种坐标体系。默认的坐标原点是在其客户区的左上角。X轴向右为正，Y轴向下为正。度量单位为象素。原点和坐标轴方向可以改变，但是度量单位不可以改变。
3、逻辑坐标
逻辑坐标是在程序中控制显示，打印使用的坐标体系。该坐标系与定义的映射模式密切相关。默认的映射模式是MM_TEXT。我们可以通过设置不同的映射模式来改变该坐标体系的默认行为。
三、逻辑坐标和设备坐标之间的转换
现有如下代码：
void CMapModeView::OnPaint()
{
CPaintDC dc(this);

//获取设备类的设置
CPoint ptOrgView,ptOrgWindow;
CSize sizeView,sizeWindow;
CString strMsg;

ptOrgView=dc.GetViewportOrg();//获取视口原点
ptOrgWindow=dc.GetWindowOrg();//获取窗口原点
sizeView=dc.GetViewportExt();//获取视口范围
sizeWindow=dc.GetWindowExt();//获取窗口范围

strMsg.Format(_T("Viewport Extent:(%d,%d),\tViewport Org:(%d,%d)\tWindow Extent:(%d,%d)\tWindow Org(%d,%d)"),
sizeView.cx,sizeView.cy,ptOrgView.x,ptOrgView.y,
sizeWindow.cx,sizeWindow.cy,ptOrgWindow.x,ptOrgWindow.y);
TRACE("%s\n",strMsg);

//设置映射模式以及原点
dc.SetMapMode(MM_TEXT);//设置映射模式
dc.SetWindowOrg(100,100);//设置窗口的坐标原点
dc.SetViewportOrg(200,200);//设置视口的坐标原点

dc.SetWindowExt(5,10);//改语句仅对可变比例映射模式有效
dc.SetViewportExt(1,1);//同上

ptOrgView=dc.GetViewportOrg();
ptOrgWindow=dc.GetWindowOrg();
sizeView=dc.GetViewportExt();
sizeWindow=dc.GetWindowExt();
strMsg.Format(_T("Viewport Extent:(%d,%d),\tViewport Org:(%d,%d)\tWindow Extent:(%d,%d)\tWindow Org(%d,%d)"),
sizeView.cx,sizeView.cy,ptOrgView.x,ptOrgView.y,
sizeWindow.cx,sizeWindow.cy,ptOrgWindow.x,ptOrgWindow.y);
TRACE("%s\n",strMsg);

//将点(300,400)从逻辑坐标体系映射到设备坐标体系。
CPoint ptMap;
ptMap=CPoint(300,400);
dc.LPtoDP(&ptMap);
strMsg.Format(_T("The Orginal Point(In LP):CPoint(300,400),Convert to DP is:CPoint(%d,%d)"),
ptMap.x,ptMap.y);
TRACE("%s\n",strMsg);

//将点(300,400)从设备坐标体系映射到逻辑坐标体系
ptMap=CPoint(300,400);
dc.DPtoLP(&ptMap);
strMsg.Format(_T("The Orginal Point(In DP):CPoint(300,400),Convert to LP is:CPoint(%d,%d)"),
ptMap.x,ptMap.y);
TRACE("%s\n",strMsg);
}
以上代码最后调试输出结果为：
Viewport Extent:(1,1), Viewport Org:(0,0) Window Extent:(1,1) Window Org(0,0)
Viewport Extent:(1,1), Viewport Org:(200,200) Window Extent:(1,1) Window Org(100,100)
The Orginal Point(In LP):CPoint(300,400),Convert to DP is:CPoint(400,500)
The Orginal Point(In DP):CPoint(300,400),Convert to LP is:CPoint(200,300)
按照MSDN上，函数SetWindowOrg(x,y)设定设备坐标下的点（x，y）对应于逻辑坐标的原点。SetVieportOrg(x,y)设定逻辑坐标下点（x，y）对应逻辑坐标的原点。而实际上如果同时设置了逻辑坐标和设备坐标原点的话，那么以上的说法是错误的。
在默认映射模式MM_TEXT下,一个逻辑单位对应于设备坐标下的一个象素。改变默认原点以后的坐标体系如下图所示：
（0,0） Dx，Lx (0,0)
(100,100) Lx
(200,200) Dx
.(300,400)

Dy,Ly Ly Dy
在VC中坐标系的转换和数学中的数学转化是不一样的。在这里是以距离为标准。首先看一下如何把点（300，400）如何从设备坐标转换成逻辑坐标。
在设备坐标体系下，点（300，400）与Y轴的距离为100个逻辑单位。那么所对应的逻辑坐标也要满足与逻辑坐标Y轴的距离为100个单位。又1个逻辑单位对应1个象素。所以所对应的设备坐标的X值为100＋100＝200。同样可以出对应的逻辑坐标的Y值为300。
按照同样的方法，我们也可以把逻辑坐标下的点（300，400）转换成设备坐标。在逻辑坐标下，点

D. 我想学习Windows系统内核的编程。应该从何入手呢我已经撑握了C、C++语言。

标准windows不是嵌入式系统。embeded windows是指微软的移动设备操作系统。
Windows系统内核的编程。。这个命题稍微难了点，如果只掌握了语言的话。
首先要简单了解windows的运行机制，windows核心编程（Windows Via C/C++）这本书不错。
然后看你的内核编程方向了，驱动？服务？破解？中间件？侧重不同，需要掌握的东西也不同，首先要熟悉各个方向和框架，然后针对性的去看，没有系统的项目去做做，很难说掌握好的。

E. Windows内核（驱动）编程中的线程问题

可以使用函数PsCreateSystemThread，用起来和ring3差不多，ring0编程更要注意线程同步问题，否则很容易BSOD(蓝屏死机)

F. Windows操作系统中的：内核， dll， AP，I都是做什么的

内核是操作系统最基本的部分。它是为众多应用程序提供对计算机硬件的安全访问的一部分软件，这种访问是有限的，并且内核决定一个程序在什么时候对某部分硬件操作多长时间。内核的分类可分为单内核和双内核以及微内核。严格地说，内核并不是计算机系统中必要的组成部分。

动态链接库英文为DLL，是Dynamic Link Library 的缩写形式，DLL是一个包含可由多个程序同时使用的代码和数据的库，DLL不是可执行文件。动态链接提供了一种方法，使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个 DLL 中，该 DLL 包含一个或多个已被编译、链接并与使用它们的进程分开存储的函数。DLL 还有助于共享数据和资源。多个应用程序可同时访问内存中单个DLL 副本的内容。DLL 是一个包含可由多个程序同时使用的代码和数据的库。

API（Application Programming Interface）,应用程序编程接口。是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件的以访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。

G. WINDOWS内核编程是汇编语言吗

Windows内核是用C语言写的。世界上绝大部分的系统内核均使用C语言完成，古老的系统使用是因为当时C语言尚属先进，现代系统使用是因为C语言兼容性好。
对于windows系统来说只有硬件抽象层和其之下的是由汇编完成的，在此之上就是C语言了。

你说的那些概念都是操作系统里的概念，与具体的语言实现无关。也就是说不管使用何种语言最终生成的可执行程序（或库）均具有你说的那些结构，因为这是windows执行必须的。比如PE文件只是一种格式，入口点只是一个相对位置，导入表函数只是一些位置的排列。

当然你学过汇编后会更好的理解，不学也无妨。因为汇编介绍了计算机底层的实现，这些结构是最底层的结构嘛。看看操作系统就明白了。

你可以参考一下MS press的windows internals一书。

H. 《WINDOWS程序设计》和《WINDOWS核心编程》的区别

一、作者不同

1、WINDOWS核心编程：是2008年5月机械工业出版社出版的图书，作者是（美）Jeffrey Richter。

2、WINDOWS程序设计：是2010年清华大学出版社出版的图书，作者是（美）佩措尔德，译者是方敏、张胜、梁路平。

二、内容不同

1、WINDOWS核心编程：从基本概念入手，全面系统地介绍了Windows底层实现机制、Windows应用程序的基本构件以及各类Windows API等，并列举了大量应用程序示例。

2、WINDOWS程序设计：涵盖基础知识和中高级主题，全面地介绍了Windows程序设计所涉及的细枝末节，旨在帮助读者从高屋建瓴的角度，建立完整的知识体系，为以后的职业生涯奠定良好的基础。

三、作用不同

1、WINDOWS核心编程：主题广泛，内容丰富，讲解深入而精辟。透过这本Windows编程经典，我们可以在专家的悉心指导下，洞悉Windows编程精华，深入了解高级编程技巧，编写出高性能的Windows应用程序。

2、WINDOWS程序设计：适合任何层次的Windows程序员阅读和参考，是帮助梳理和建立Windows知识体系的理想读物。

I. windows编程是什么

windows 编程就是编译的程序可以在windows环境下运行 可以用的语言很多了，如VB,VC,Delphi,java,C#等等，很多编程软件要调用系统的API函数，MFC,微软基础类(Microsoft Foundation Classes)，同VCL（delphi的库）类似，是一种Application Framework，随微软Visual C++ 开发工具发布。

J. 现在做windows内核编程前景如何

rootkit之类的有前途，走摆到可以进杀软公司或者反外挂公司，走黑道的话，呵呵............