windows核心编程笔记 《windows核心编程》

1.调用约定，WINAPI CALLBACK __stdcall _cdecl

2. unicode与utf-8区别

3.文件映射创建大文件

4.win32：创建窗口类--设置窗口过程函数（可重入，关键），注册窗口类,创建窗口，show，update, 消息循环(GetMessage, TranslateMessage 键盘类消息转换, DispatchMessage-到窗口过程去处理), 系统消息队列，窗口消息队列

5.modal dlg 有自己独立消息循环 - WinApp 的 InitInstance 返回 false .CFrameWnd 的 返回 true

int AFXAPI AfxWinMain(HINSTANCE hInstance, HINSTANCE hPrev, LPTSTR lpCmdLine, int nCmdShow)

{

AfxWinInit(hInstance, hPrev, lpCmdLine, nCmdShow);

pApp->InitApplication();

pThread->InitInstance();// 模态框 返回 false 就goto InitFailure

pThread->Run();

InitFailure:

AfxWinTerm();

}

6.PeekMessage(结合 PumpMessage) 立即返回， GetMessage(等待直到有消息)。SendMessage() 是同步行为，PostMessage()异步

7.内核对象，SECURITY_ATTRIBUTE, 生存期可能长于产生其的进程 ，内核句柄是进程的概念，内核对象跨进程访问(继承，命名)

job,进程，线程，文件，文件映射，事件对象，信号量，互斥量 （都有安全属性设置） 完成端口也是内核对象， 作业内核对象用IO完成端口实现

8.线程tls, piddata （堆上资源）， GetLastError , 结构化异常处理(coredump) 基于线程的

9.用户模式线程同步：interlockd函数、关键代码段，旋转锁(一直占cpu，慎！),读写锁，速度快.内核模式线程同步，慢，用户模式切内核模式山下文切换耗时

10.信号量，互斥量。互斥量基于线程，互斥量内核对象的线程id如果为0，表示是触发的. 互斥对象 有线程所有权概念。

11.OVERLAPPED 结构？ 异步io, 完成端口，一般开启工作线程 cpu_num*2，并发最多cpu_num个线程。

12.栈的地址是由高向低增长的.堆得地址增长方向是由低到高向上增长的。

13.页面是一个内存单元，系统通过它来管理内存，x86,x64一般为4KB.VirtualAlloc 分配区域才能使用地址空间（调拨物理存储器）， reserving. 分配粒度 64KB 的正数倍(起始地址)

14.页交换文件。映像，映射，空闲，私有

15.线程栈默认1M, 调拨1个存储页面，区域顶部往下一个页面为防护页面

16.内存映射文件。 进程间数据共享 ，进程启动快（exe,dll）节省也交换文件空间，访问磁盘文件避免文件io操作和缓存

17.虚拟内存，文件映射，堆-内存操作控制的方法.堆就是一块预定的地址空间区域，其物理存储器始终是从页交换文件中分配.堆上分配释放慢

18.代码段，堆栈段，数据段。

数据段（静态存储区）：包括BSS段（Block Started by Symbol）的数据段。BSS段存储未初始化或初始化为0的全局变量、静态变量，具体体现为一个占位符，并不给该段的数据分配空间，只是记录数据所需空间的大小。数据段存储经过初始化的全局和静态变量。

19.钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

钩子的类型总共15种，每种钩子处理不同的消息

钩子用SetWindowsHookEx安装，放在DDL中，有全局钩子的，比如键盘，鼠标等，也可以是线程的，指定窗口的（不是很准确，但实用）。是全局还是指定，主要是看SetWindowsHookEx中的参数设置：

全局时：第三个参数为DLL的hInstance，第四个参数为NULL。 DLL 注入

线程时：第三个参数NULL。

指定时：第三个参数为DLL的hInstance，第四个参数为为dwThreadId是指定窗口线程ID，这样你就能获得指定窗口的消息了。

想调用 SetWindowsHookEx 来设置 WH_CBT 钩子，但我了解到 MFC 也安装了这个钩子，也就是在一个线程中安装了两次 WH_CBT，这样做能行吗？ 答案是肯定的

CBT 钩子的目的是监视窗口的创建，以便在该窗口接收到任何消息之前将 CWnd 对象连接到它们的 HWNDs

HHOOK WINAPI SetWindowsHookEx(

__in int idHook, \\钩子类型

__in HOOKPROC lpfn, \\回调函数地址

__in HINSTANCE hMod, \\实例句柄

__in DWORD dwThreadId); \\线程ID

20.线程状态是一个保存线程级全局变量的地方

void AFXAPI AfxHookWindowCreate(CWnd* pWnd)

{

_AFX_THREAD_STATE* pThreadState = _afxThreadState.GetData();

pThreadState->m_hHookOldCbtFilter = ::SetWindowsHookEx(

WH_CBT, _AfxCbtFilterHook, NULL, ::GetCurrentThreadId());

pThreadState->m_pWndInit = pWnd;

}

21.线程消息队列；没有窗口也有消息队列的

22.动态tls, TlsAlloc TlsSetValue, TlsGetValue, TlsFree

静态tls __declspec(thread) DWORD gt_dwStartTime = 0

23.dll注入， api拦截

24.要切换不同的线程，操作系统应先切换该线程所隶属之进程的内存（译注），然后恢复该线程放在CONTEXT 结构中的寄存器值。这整个过程便称为 context switch。

25. “线程核心对象”引用到的那个线程也会令核心对象开启。因此，线程对象的默认引用计数是2。当你调用CloseHandle( )时，引用计数下降1，当线

程结束时，引用计数再降1。只有当两件事情都发生了（不管顺序如何）的时候，这个对象才会被真正清除。线程的handle 是指向“线程核心对象”，而不是指向线程本身