流 NT 5.x/10+)
结合Windows NT 内核架构主流 NT 5.x/10 通用模型分分层架构、核心组件、调用流程三部分整理附带可视化架构图、模块说明同时适配 ReactOS 对标体系。一、Windows NT 整体分层架构经典双层模型Windows 采用用户态 (User Mode)内核态 (Kernel Mode)严格隔离架构通过系统调用切换权限硬件资源仅内核态可直接访问。┌─────────────────────────────────────────────────────────────┐ │ 用户态 User Mode │ │ 权限低、隔离安全应用程序、服务、外壳全部运行在此层级 │ ├─────────────┬─────────────────────────────────────────────┤ │ 应用层 │ 普通应用、记事本、浏览器、Office、第三方软件 │ │ Win32 子系统 │ User32.dll / Gdi32.dll / Kernel32.dll │ │ 系统进程 │ winlogon.exe、lsass.exe、svchost.exe、explorer │ │ 其他子系统 │ POSIX 子系统、WoW64(32位兼容层) │ └─────────────┴─────────────────────────────────────────────┘ ↓ 系统调用 / 中断 / 异常 ┌─────────────────────────────────────────────────────────────┐ │ 内核态 Kernel Mode │ │ 最高权限直接操作硬件、内存、CPU、中断操作系统核心所在 │ ├─────────────┬─────────────────────────────────────────────┤ │ 系统执行体 │ 内核主体(ntoskrnl.exe) 绝大多数系统服务 │ │ 内核核心 │ 调度、对象管理、内存管理、I/O、安全、进程线程 │ │ 设备驱动层 │ 各类硬件驱动、文件系统驱动、过滤器驱动 │ │ 硬件抽象层 HAL │ hal.dll 屏蔽硬件差异适配不同主板/CPU │ └─────────────┴─────────────────────────────────────────────┘二、用户态User Mode核心组件详解1. Win32 子系统最核心桌面应用依赖Windows 桌面生态全部基于该子系统也是 ReactOS 重点兼容对象Kernel32.dll基础系统服务进程、线程、文件、目录、注册表、同步对象、内存管理用户态接口。User32.dll窗口管理窗口创建、消息循环、菜单、按钮、控件、桌面交互。Gdi32.dll图形设备接口绘图、字体、位图、窗口渲染、打印。Shell 组件shell32.dll、explorer.exe资源管理器 / 桌面 / 任务栏、控制面板、文件对话框。COM 组件系统组件通信标准外壳、控制面板、大量系统工具均依赖 COM。2. 关键系统进程smss.exe会话管理器系统启动早期核心创建会话、加载子系统winlogon.exe登录管理器负责用户登录、锁屏、会话切换lsass.exe本地安全授权子系统身份验证、权限、安全策略svchost.exe服务宿主进程承载绝大多数 Windows 系统服务3. 兼容层WoW6464 位系统下运行 32 位应用的兼容层双向转发 API 调用。三、内核态Kernel Mode核心架构NT 内核本体内核态由4 大层级组成从上至下依次为执行体 → 内核核心 → 驱动程序 → HAL1. 系统执行体Executive文件ntoskrnl.exe主体部分对外提供系统调用接口是用户态与内核的桥梁。 包含八大核心管理器对象管理器统一管理所有内核对象进程、线程、文件、句柄、事件、互斥体等进程 / 线程管理器创建、终止、管理进程与线程维护进程地址空间虚拟内存管理器 (VMM)分页、物理内存管理、地址空间映射、缓存、内存保护I/O 管理器统一管理设备 I/O、驱动调用、异步 IO、文件系统、网络 IO安全引用监视器 (SRM)权限校验、访问控制、安全审计配置管理器内核态注册表读写电源管理器电源策略、休眠、待机、硬件节电控制即插即用管理器 (PnP)硬件枚举、驱动加载、热插拔管理2. 内核核心Kernel Core同属ntoskrnl.exe偏向底层硬件与调度为执行体提供基础支撑线程调度器CPU 时间片分配、优先级调度、上下文切换中断与异常处理硬件中断、CPU 异常、陷阱处理同步原语自旋锁、内核信号量、事件、互斥体内核专用同步机制陷阱处理承接用户态发起的系统调用完成权限切换3. 设备驱动层Drivers运行在内核态直接对接硬件分层设计高层驱动文件系统驱动、网络协议驱动、过滤器驱动加密、压缩、监控类驱动通用设备驱动磁盘、键盘、鼠标、显卡、USB 通用协议微型端口驱动硬件厂商专属驱动对接具体硬件芯片分类字符设备、块设备、网络设备、总线驱动PCI/USB/SATA4. 硬件抽象层 HAL文件hal.dll作用屏蔽不同硬件平台差异让内核不用关心具体主板、CPU、芯片组细节。 负责硬件中断路由、时钟控制、DMA、主板总线、CPU 平台适配。 ReactOS 同样独立实现多平台 HAL。四、完整调用流程示例打开一个文件以「应用双击打开文件」为例梳理全链路应用程序用户态→ 调用Kernel32.dll打开文件 APIKernel32.dll发起系统调用陷入内核态内核陷阱处理器接收请求转交I/O 管理器I/O 管理器调用文件系统驱动文件系统驱动 调用磁盘类驱动 磁盘微型端口驱动驱动通过HAL操作物理磁盘硬件数据原路逐层返回切回用户态应用读取文件内容五、精简版拓扑图纯文本可直接文档使用【用户态】 应用程序 │ ├─ Win32 DLL: Kernel32 / User32 / Gdi32 ├─ 系统进程: smss / winlogon / lsass / svchost / explorer └─ 子系统: WoW64 / COM / Shell ↓ 系统调用 【内核态 - ntoskrnl.exe】 ├─ 执行体(Executive) │ ├─ 对象管理器 │ ├─ 进程/线程管理器 │ ├─ 虚拟内存管理器(VMM) │ ├─ I/O 管理器 │ ├─ 安全监视器 │ └─ 配置/电源/PnP管理器 │ └─ 内核核心(Kernel) ├─ 线程调度 ├─ 中断/异常处理 └─ 内核同步 ↓ 【驱动层】文件系统 / 网络 / 磁盘 / USB / 显卡 等驱动 ↓ 【硬件抽象层 HAL (hal.dll)】 ↓ 【物理硬件】CPU / 内存 / 磁盘 / 网卡 / 外设六、补充Windows 10/11 现代架构新增模块在经典 NT 架构基础上扩展Hyper-V 虚拟机监控程序底层虚拟化隔离内核与用户环境核心隔离、安全基础UMDF / KMDF微软驱动框架简化驱动开发替代传统 WDM 驱动容器子系统基于进程隔离的应用容器安全内核 (Secure Kernel)独立安全分区处理加密、安全启动、隔离权限该架构完全兼容 ReactOS 开发文档中对应的模块划分可直接用于学习、文档、绘图参考。
Windows NT 内核架构(主通用模型)流 NT 5.x/10+
发布时间:2026/6/8 23:12:57
结合Windows NT 内核架构主流 NT 5.x/10 通用模型分分层架构、核心组件、调用流程三部分整理附带可视化架构图、模块说明同时适配 ReactOS 对标体系。一、Windows NT 整体分层架构经典双层模型Windows 采用用户态 (User Mode)内核态 (Kernel Mode)严格隔离架构通过系统调用切换权限硬件资源仅内核态可直接访问。┌─────────────────────────────────────────────────────────────┐ │ 用户态 User Mode │ │ 权限低、隔离安全应用程序、服务、外壳全部运行在此层级 │ ├─────────────┬─────────────────────────────────────────────┤ │ 应用层 │ 普通应用、记事本、浏览器、Office、第三方软件 │ │ Win32 子系统 │ User32.dll / Gdi32.dll / Kernel32.dll │ │ 系统进程 │ winlogon.exe、lsass.exe、svchost.exe、explorer │ │ 其他子系统 │ POSIX 子系统、WoW64(32位兼容层) │ └─────────────┴─────────────────────────────────────────────┘ ↓ 系统调用 / 中断 / 异常 ┌─────────────────────────────────────────────────────────────┐ │ 内核态 Kernel Mode │ │ 最高权限直接操作硬件、内存、CPU、中断操作系统核心所在 │ ├─────────────┬─────────────────────────────────────────────┤ │ 系统执行体 │ 内核主体(ntoskrnl.exe) 绝大多数系统服务 │ │ 内核核心 │ 调度、对象管理、内存管理、I/O、安全、进程线程 │ │ 设备驱动层 │ 各类硬件驱动、文件系统驱动、过滤器驱动 │ │ 硬件抽象层 HAL │ hal.dll 屏蔽硬件差异适配不同主板/CPU │ └─────────────┴─────────────────────────────────────────────┘二、用户态User Mode核心组件详解1. Win32 子系统最核心桌面应用依赖Windows 桌面生态全部基于该子系统也是 ReactOS 重点兼容对象Kernel32.dll基础系统服务进程、线程、文件、目录、注册表、同步对象、内存管理用户态接口。User32.dll窗口管理窗口创建、消息循环、菜单、按钮、控件、桌面交互。Gdi32.dll图形设备接口绘图、字体、位图、窗口渲染、打印。Shell 组件shell32.dll、explorer.exe资源管理器 / 桌面 / 任务栏、控制面板、文件对话框。COM 组件系统组件通信标准外壳、控制面板、大量系统工具均依赖 COM。2. 关键系统进程smss.exe会话管理器系统启动早期核心创建会话、加载子系统winlogon.exe登录管理器负责用户登录、锁屏、会话切换lsass.exe本地安全授权子系统身份验证、权限、安全策略svchost.exe服务宿主进程承载绝大多数 Windows 系统服务3. 兼容层WoW6464 位系统下运行 32 位应用的兼容层双向转发 API 调用。三、内核态Kernel Mode核心架构NT 内核本体内核态由4 大层级组成从上至下依次为执行体 → 内核核心 → 驱动程序 → HAL1. 系统执行体Executive文件ntoskrnl.exe主体部分对外提供系统调用接口是用户态与内核的桥梁。 包含八大核心管理器对象管理器统一管理所有内核对象进程、线程、文件、句柄、事件、互斥体等进程 / 线程管理器创建、终止、管理进程与线程维护进程地址空间虚拟内存管理器 (VMM)分页、物理内存管理、地址空间映射、缓存、内存保护I/O 管理器统一管理设备 I/O、驱动调用、异步 IO、文件系统、网络 IO安全引用监视器 (SRM)权限校验、访问控制、安全审计配置管理器内核态注册表读写电源管理器电源策略、休眠、待机、硬件节电控制即插即用管理器 (PnP)硬件枚举、驱动加载、热插拔管理2. 内核核心Kernel Core同属ntoskrnl.exe偏向底层硬件与调度为执行体提供基础支撑线程调度器CPU 时间片分配、优先级调度、上下文切换中断与异常处理硬件中断、CPU 异常、陷阱处理同步原语自旋锁、内核信号量、事件、互斥体内核专用同步机制陷阱处理承接用户态发起的系统调用完成权限切换3. 设备驱动层Drivers运行在内核态直接对接硬件分层设计高层驱动文件系统驱动、网络协议驱动、过滤器驱动加密、压缩、监控类驱动通用设备驱动磁盘、键盘、鼠标、显卡、USB 通用协议微型端口驱动硬件厂商专属驱动对接具体硬件芯片分类字符设备、块设备、网络设备、总线驱动PCI/USB/SATA4. 硬件抽象层 HAL文件hal.dll作用屏蔽不同硬件平台差异让内核不用关心具体主板、CPU、芯片组细节。 负责硬件中断路由、时钟控制、DMA、主板总线、CPU 平台适配。 ReactOS 同样独立实现多平台 HAL。四、完整调用流程示例打开一个文件以「应用双击打开文件」为例梳理全链路应用程序用户态→ 调用Kernel32.dll打开文件 APIKernel32.dll发起系统调用陷入内核态内核陷阱处理器接收请求转交I/O 管理器I/O 管理器调用文件系统驱动文件系统驱动 调用磁盘类驱动 磁盘微型端口驱动驱动通过HAL操作物理磁盘硬件数据原路逐层返回切回用户态应用读取文件内容五、精简版拓扑图纯文本可直接文档使用【用户态】 应用程序 │ ├─ Win32 DLL: Kernel32 / User32 / Gdi32 ├─ 系统进程: smss / winlogon / lsass / svchost / explorer └─ 子系统: WoW64 / COM / Shell ↓ 系统调用 【内核态 - ntoskrnl.exe】 ├─ 执行体(Executive) │ ├─ 对象管理器 │ ├─ 进程/线程管理器 │ ├─ 虚拟内存管理器(VMM) │ ├─ I/O 管理器 │ ├─ 安全监视器 │ └─ 配置/电源/PnP管理器 │ └─ 内核核心(Kernel) ├─ 线程调度 ├─ 中断/异常处理 └─ 内核同步 ↓ 【驱动层】文件系统 / 网络 / 磁盘 / USB / 显卡 等驱动 ↓ 【硬件抽象层 HAL (hal.dll)】 ↓ 【物理硬件】CPU / 内存 / 磁盘 / 网卡 / 外设六、补充Windows 10/11 现代架构新增模块在经典 NT 架构基础上扩展Hyper-V 虚拟机监控程序底层虚拟化隔离内核与用户环境核心隔离、安全基础UMDF / KMDF微软驱动框架简化驱动开发替代传统 WDM 驱动容器子系统基于进程隔离的应用容器安全内核 (Secure Kernel)独立安全分区处理加密、安全启动、隔离权限该架构完全兼容 ReactOS 开发文档中对应的模块划分可直接用于学习、文档、绘图参考。
)
