NT架构
NT 就是new techonology 的英文单词缩写,是微软1993年推出操作系统的重大升级,如内存管理,安全机制,多任务,多线程支持。在此之前操作系统都是基于MS-DOS上面的图形化界面,只有有限的内存管理和多任务处理能力。 后续微软在NT架构上陆续推出了服务器操作系统Windows server 2003 -- 2025系列,桌面操作系统windows xp --windows 11.
主要的动态库 kernel32, user32,gdi32, ntdll
早期,NT架构从内核到ntdll.dll**,**kernel32, user32,gdi32都是纯32位实现,后续都进行优化和改造64位的kernel32, user32,gdi32支持兼容运行32位程序。
kernel32
kernel32.dll 是Windows重要的动态链接库,主要用于作用如下:
- 进程,线程管理。提供了线程和进程的创建,销毁,控制的相关函数。
- 内存管理。包括内存分配和释放等API,比virtualAlloc, virtualFree等。
- 文件和设备IO通信相关API,比如文件创建,关闭读写等。
- 同步机制,提供各种同步对象,信号量等用于线程交互通信。Mutex, CriticalSection,event等。
- 时间和日期函数的管理。
user32
- user32.dll 是Windows提供用于windows 消息管理,界面管理相关功能,作用如下。
- 处理和分发窗口消息相关API,使得程序能够响应用户的的操作。比如GetMessage等。
- 处理鼠标和键盘事件的方法,比如setCursorPos 设置鼠标位置。
- 窗口对象的创建和销毁,隐藏显示等。
- 菜单对话框相关的处理。
gdi32
- gdi32是windows提供的图像设备接口动态链接库。用于图形管理和绘制相关
- 图形对象的管理,通过CreatePen, CreateBrush等。
- 图形的绘制,比如moveToEx, LineTo等。
- 位图的处理,图标的加载,释放,以及位图的输出等。
- 提供文本展示相关处理
ntdll
ntdll 是应用层面和Windows内核交互的重要动态链接库, 上面提到的 kernel32,user32,gid32都是通过ntdll 与内核交互的, 我这里专门测试了下, 下面是OllyDbg查到的数据, 可以看到我们代码调用CreateFileW, 是走了kernel32库, 然后库里面右去调用相关ntdll 的方法。(这里说明下,我也是学着使用OD,所以后面ntdll 的入口并不确定找到了对应的,但是可以看到kernel32 里面的确有相关ntdll 的调用,说明我们的理解是没有错误的。)
字符集
学习这一集的时候, 我们先问自己一个问题, 什么是字符集,都有哪些字符集? 为什么要有字符集,字符集作用?带着上面的一些列问题,我们开始今天的字符集之旅~~~~~~~~~
什么是字符集,都有哪些字符集??
字符集对照表
字符集其实就是一个预先定义好的表格, 里面将每个文字都罗列出来,并且为每个文字指定一个独一无二的数字来代替。
以淬渊阁中的"淬"举例:
ASCLL:
这个编码无法表示中文,所以他的字符集找不到
Unicode:
十六进制: 0x6DEC
十进制:28140
二进制:0110 1101 1110 1100
字母A举例:ASCLL:
十六进制: 0x41
十进制:65
二进制:01000001
Unicode:
十六进制: 0x41
十进制:65
二进制:01000001
所以记住字符集: 就是一个表格,一个对照字符和数值对应的表格。除了上面说的 ASCLL ,Unicode外,还有GBK相关中国发布的编码规则。
ASCLL和Unicode前世今生
从上面举例大家可能也发现了,字符A在ASCLL 和Unicode 中都是一样, 这个是因为最初美国指定了ASCLL字符集,英文世界里面ASCLL的编码就足够表示相关字符和文字。但是随这个计算机普及,世界各地都希望都能使用计算机,中文,阿拉伯,柬埔寨....,于是后来人们就开始在ASCLL基础上统一推出了Unicode字符集,后者兼容了ASCLL字符集,也就是为什么ASCLL字符集的字符在Unicode 中是一样的。
utf8&utf16&utf32是字符集吗?
可能听utf8这样的描述太多,有时候会混淆编码和字符集。 首先明确的说他们不是字符集,他们是一种编码关系,是Unicode 字符的存储形势。这样的形式有很多种:
官网描述:
所以记住:utf8&utf16&utf32是一种Unicode字符的存储算法,他通过多种格式来存储一个字符。
我们还是以淬渊阁中的"淬"举例 utf8编码后:
这里可以看到"淬"在Unicode 编码字符集中对应的数值是0x6DEC,但是存入计算机就是0xE6 B7AC, 这里就可以看出UTF8是一个编码存储方案, 大家有兴趣也可以将 淬渊阁中的"淬"(0x6DEC)用utf16或32 加上BOM 或不带BOM的方式展示出来看看。(BOM 就数据大小端存储方式的标记。)
为什么要有字符集,字符集作用?
主要是以下两个作用:
- 支持字符在计算机中存储和传递
- 支持字符的打印和屏幕渲染
计算机只知道二进制,所以字符并没有办法存入计算机,只有采用数字,进而转化成二进制才能在计算机存储。所以字符集对应的数字就可以存入计算机,ASCLL 码比较简单,对应的数字转换成二进制就可以直接存入计算机了, 但是Unicode编码推出后,考虑到了字节浪费,所以通过UTF(8,16,32)编码方案将Unicode对应的编码优化到了1-4个字节大小来存入计算机。
这个字符集除了在存储的时候使用外,还在字符输出UI时也有用到, 比如一个字符"淬"通过二进制在计算机中传递,当要打印出来的时候,他们会去获取相关字体,字体里面会保存"淬"这个字对应的矢量数据(或者简单理解为这个字的像素点位位置)和这个字对应的字符编码。 当二进制数据和这个字体中存入的编码一致的时候, 计算机就将矢量数据渲染到屏幕上和打印机中,从而实现打印。
字符查询网站
__stdcall和__cdecl约定
stdcall: stdandard call
cdecl: c declaration
__stdcall和__cdecl 用于c/c++ 调用函数方式的约定,决定了不同的参数访问和入栈的顺序,决定由谁来清理栈数据。
__stdcall
调用函数的时候,参数是从右到左顺序入栈。然后函数执行完成后,是由被调用者来负责清理栈数据。
__cdecl
调用函数的时候,参数是从右到左顺序入栈,然后函数执行完成后, 是由调用者来负责清理栈数据。
__cdecl 由于是由调用者来负责清理栈,所以他可以支持可变参数。
其实这里我是有疑问的? 为啥__stdcall是被调用者清理栈就不支持可变参数呢?
后来我查了下资料,解释是这样的, __stdcall修饰的时候时候,编译器知道有几个参数,所以就会生成对应的栈清理代码,被调用函数调用出栈的时候就能准确清理参数个数。 如果用__stdcall来修饰可变参函数,那么编译期间就不知道运行的时候会传入几个参数的,所以__stdcall不可以用于可变参函数。 __cdecl是由调用者清理,因为调用者是动态传入的参数个数,所以函数执行完成后,他是知道传入了几个,所以知道清理几个参数,这就是为什么它可以支持可变参的原因。