⚡ Забудьте всё, что знали о Windows. Под капотом 11-й версии работают механизмы, о которых не подозревают даже опытные админы. Гибридное ядро, революционные подсистемы безопасности и архитектурные решения, которые переворачивают представление о современных ОС.
Гибридная архитектура ядра: не монолит и не микроядро 🧠
Windows 11 построена на NT kernel - уникальной гибридной архитектуре, которая сочетает производительность монолитного ядра с модульностью микроядра. В отличие от чистого Linux (монолит) или MINIX (микроядро), NT kernel находит баланс между этими подходами.
Центральный компонент - ntoskrnl.exe (расположен в C:\Windows\System32), который работает в связке с Hardware Abstraction Layer (HAL) - hal.dll. Эта связка обеспечивает абстракцию от железа, позволяя одному образу ядра работать на Surface с ARM64 и серверах Azure с 896 ядрами и 2TB RAM.
Архитектурные слои 📊
Executive Layer предоставляет высокоуровневые сервисы:
- Process Manager
- Object Manager
- Security Reference Monitor
- Memory Manager
- I/O Manager
Kernel Layer содержит низкоуровневые примитивы:
- Thread Dispatcher
- Interrupt/Exception Handling
- Synchronization Mechanisms
WoW64: мост между эпохами 🌉
Windows on Windows 64 - подсистема, позволяющая 32-битным приложениям работать на 64-битной системе. В отличие от ограничения в 2-3GB на 32-битных системах, WoW64 предоставляет полные 4GB виртуального адресного пространства для каждого 32-битного процесса.
Ключевые особенности:
- Каждый 32-битный процесс может использовать до 4GB памяти
- Конвертация системных вызовов из 32-битных в 64-битные происходит в user-mode
- Все процессы разделяют общее 64-битное системное пространство ядра
Файлы подсистемы WoW64:
ntdll.dll (64-bit) - нативная версия
wow64.dll - эмулятор
wow64win.dll - GUI эмуляция
wow64cpu.dll - CPU эмуляция
NTFS: файловая система с мозгами 🧬
NTFS в Windows 11 - это не просто способ хранения файлов, а сложная система с продвинутыми возможностями.
Access Control Lists (ACL) - двухуровневая защита:
DACL (Discretionary ACL) - определяет права доступа:
- Full Control
- Modify
- Read & Execute
- List Folder Contents
- Read
- Write
SACL (System ACL) - аудит событий безопасности
Encrypting File System (EFS) 🔐
EFS использует гибридное шифрование:
- Файл шифруется симметричным ключом (FEK - File Encryption Key)
- FEK шифруется публичным ключом пользователя
- Зашифрованный FEK сохраняется в альтернативном потоке данных файла
- Для расшифровки используется приватный ключ пользователя
Важно: EFS и сжатие NTFS взаимно исключают друг друга!
Registry: иерархическая база данных системы 🗃️
Windows Registry - это не просто реестр, а структурированная иерархическая база данных, критически важная для работы системы.
Структура "ульев" (Hives):
HKEY_LOCAL_MACHINE - машинные настройки
Путь: HKLM\SYSTEM\CurrentControlSet\Services
Здесь хранятся все службы и драйверы устройств
HKEY_CURRENT_USER - профиль текущего пользователя
HKEY_CLASSES_ROOT - ассоциации файлов
HKEY_USERS - все загруженные профили пользователей
HKEY_CURRENT_CONFIG - текущая конфигурация оборудования
Особенности реализации:
- Registry может иметь глубину до 512 уровней
- За один API-вызов можно создать до 32 уровней
- Ключи-ссылки (например, CurrentControlSet) указывают на реальные данные
Драйверы и WDM: архитектура расширений ядра ⚙️
Windows Driver Model (WDM) позволяет расширять функциональность ядра через драйверы устройств.
Ключевые функции драйвера:
DriverEntry - точка входа драйвера:
NTSTATUS DriverEntry(
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath)
Обязательные компоненты:
- Создание объекта устройства
- Регистрация callback-методов
- Регистрация DriverUnload для освобождения ресурсов
Windows Driver Frameworks (WDF):
- KMDF (Kernel-Mode Driver Framework) - драйверы режима ядра
- UMDF (User-Mode Driver Framework) - пользовательские драйверы
- Стандартные реализации проблемных функций (отмена I/O, управление питанием)
Подсистема безопасности VBS 🛡️
Virtualization-Based Security создает изолированную виртуальную среду с помощью Windows Hypervisor, обеспечивая корень доверия для ОС.
Компоненты VBS:
Memory Integrity (HVCI) - проверяет все драйверы режима ядра перед загрузкой
Требования к оборудованию:
- 64-битный CPU с поддержкой виртуализации (Intel VT-X, AMD-v)
- SLAT (Second Level Address Translation)
- IOMMU/SMMU для всех DMA-устройств
- TPM 2.0
- UEFI с поддержкой Secure Boot
Состояние VBS можно проверить через:
msinfo32 → Virtualization-based security
UEFI Secure Boot: загрузка с цифровой подписью 🔑
Secure Boot обеспечивает загрузку только доверенного ПО, проверяя цифровые подписи на каждом этапе.
Проверка состояния Secure Boot:
bcdedit /enum {current}
- winload.efi - UEFI Secure Boot включен
- winload.exe - традиционная загрузка
Включение через BIOS:
Boot → Secure Boot → Key Management → Install default Secure Boot Keys
Pico Processes: контейнеры для альтернативных ОС 📦
Pico Process - минимальный процесс с Pico Provider (драйвером режима ядра), обеспечивающий совместимость с Linux через WSL.
Характеристики Minimal Process:
- Пустое адресное пространство (нет PEB, NTDLL, KUSER_SHARED_DATA)
- Отсутствие таблицы дескрипторов
- EPROCESS.Minimal == 1
- Потоки без TEB и пользовательского стека
API для Pico Processes:
- PsRegisterPicoProvider - регистрация провайдера
- PspCreatePicoProcess - создание процесса
- PspGetPicoProcessContext - получение контекста
Memory Compression: сжатие в реальном времени 💾
Windows 11 использует сжатие памяти для оптимизации использования RAM.
Управление Memory Compression:
Проверка состояния:
Get-MMAgent
Включение:
Enable-MMAgent -mc
Отключение:
Disable-MMAgent -mc
Перезапуск службы:
Restart-Service SysMain
Сжатие работает через службу SysMain и позволяет данным оставаться в RAM вместо выгрузки в более медленный файл подкачки.
HAL: мост к железу 🔌
Hardware Abstraction Layer скрывает детали оборудования от драйверов и ОС.
Функции HAL с префиксом "Hal":
- Доступ к оборудованию
- Абстракция чипсетов и BIOS
- Поддержка различных архитектур (x86, x64, ARM)
В современных версиях Windows количество HAL сократилось:
- Windows 8+: один HAL для x86
- x64 системы: один HAL с начала существования архитектуры
ACPI: интеллектуальное управление питанием ⚡
Advanced Configuration and Power Interface обеспечивает обнаружение и конфигурацию оборудования, управление питанием.
Ключевые методы ACPI:
- _PSR - статус источника питания
- _BIX - информация о батарее
- _BST - состояние батареи
- _BTP - события уровня заряда
ACPI использует ACPI Machine Language и встроенную виртуальную машину для выполнения операций.
DirectX 12 Ultimate: графическая революция 🎮
DirectX 12 Ultimate объединяет передовые графические технологии.
Ключевые возможности:
- DirectX Raytracing (DXR) - трассировка лучей в реальном времени
- Variable Rate Shading (VRS) - приоритетный рендеринг
- Mesh Shaders - эффективная обработка сложных сцен
- Sampler Feedback - оптимизация текстур высокого разрешения
Преимущества DX12:
- Многопоточная запись командных буферов
- Асинхронные шейдеры
- Низкие накладные расходы API
- Использование всех ядер CPU
Системные вызовы: мост между пользователем и ядром 📞
Системные вызовы в Windows 11 проходят через ntdll.dll - основной интерфейс доступа к ядру.
Механизм выполнения:
Приложение → kernel32.dll → ntdll.dll → syscall → ядро
64-битные системы используют инструкцию syscall:
mov r10, rcx
mov eax, 18h ; номер системного вызова
syscall
ret
32-битные системы используют int 2Eh
Особенности системных вызовов:
- Номера syscall меняются между версиями Windows
- ntdll.dll не документирован Microsoft
- Более 2000 экспортируемых функций, 464 из них - обёртки syscall
🔔 Подписывайтесь на канал Т.Е.Х.Н.О Windows & Linux, чтобы не пропустить новые разборы архитектуры операционных систем! Ставьте лайк, если материал был полезен, и делитесь с друзьями, которым интересны технические детали современных ОС.
#Windows11 #архитектура #ядро #ntkernel #wow64 #ntfs #registry #драйверы #безопасность #vbs #secureboot #picoprocesses #memorycompression #hal #acpi #directx12 #системныевызовы #interrupt #scheduling #kernel #microsoft #операционныесистемы #технологии #программирование #системноеадминистрирование #кибербезопасность #виртуализация #железо #производительность