c#读写文件从用户态切到内核态，到底是个什么流程？(代码片段)

关键词：

一：背景

1. 一个很好奇的问题

我们在学习 C# 的过程中，总会听到一个词叫做 内核态 ，比如说用 C# 读写文件，会涉及到代码从 用户态 到 内核态 的切换，用 HttpClient 获取远端的数据，也会涉及到 用户态 到 内核态 的切换，那到底这是个什么样的交互流程？毕竟我们的程序是无法操控 内核态 ，今天我们就一起探索下。

二：探究两态的交互流程

1. 两个态的交界在哪里

我们知道人间和地府的交界处在 鬼门关，同样的道理 用户态 和 内核态 的交界处在 ntdll.dll 层，画个图就像下面这样：

操作系统为了保护 内核态 的代码，在用户态直接用指针肯定是不行的，毕竟一个在 ring 3，一个在 ring 0，而且 cpu 还做了硬件保护兜底，那怎么进入呢？为了方便研究，先上一个小例子。

2. 一个简单的文件读取

我们使用 File.ReadAllLines() 实现文件读取，代码如下：

internal class Program
    
        public static object lockMe = new object();

        static void Main(string[] args)
        
            var txt= File.ReadAllLines(@"D:\\1.txt");

            Console.WriteLine(txt);

            Console.ReadLine();
        
    

在 Windows 平台上，所有内核功能对外的入口就是 Win32 Api ，言外之意，这个文件读取也需要使用它，可以在 WinDbg 中使用 bp ntdll!NtReadFile 在 鬼门关 处进行拦截。

0:000> bp ntdll!NtReadFile
breakpoint 0 redefined
0:000> g
ModLoad: 00007ffe`fdb20000 00007ffe`fdb50000   C:\\Windows\\System32\\IMM32.DLL
ModLoad: 00007ffe`e2660000 00007ffe`e26bf000   C:\\Program Files\\dotnet\\host\\fxr\\6.0.5\\hostfxr.dll
Breakpoint 0 hit
ntdll!NtReadFile:
00007ffe`fe24c060 4c8bd1          mov     r10,rcx

哈哈，很顺利的拦截到了，接下来用 uf ntdll!NtReadFile 把这个方法体的汇编代码给显示出来。

0:000> uf ntdll!NtReadFile
ntdll!NtReadFile:
00007ffe`fe24c060  mov     r10,rcx
00007ffe`fe24c063  mov     eax,6
00007ffe`fe24c068  test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1
00007ffe`fe24c070  jne     ntdll!NtReadFile+0x15 (00007ffe`fe24c075) 
00007ffe`fe24c072  syscall
00007ffe`fe24c074  ret
00007ffe`fe24c075  int     2Eh
00007ffe`fe24c077  ret

从汇编代码看，逻辑非常简单，就是一个 if 判断，决定到底是走 syscall 还是  int 2Eh，很显然不管走哪条路都可以进入到 内核态，接下来逐一聊一下。

3. int 2Eh 入关走法

相信在调试界没有人不知道 int 是干嘛的，毕竟也看过无数次的 int 3，本质上来说，在内核层维护着一张 中断向量表,每一个数字都映射着一段函数代码，当你打开电脑电源而后被 windows 接管同样借助了 中断向量表 ，好了，接下来简单看看如何寻找 3 对应的函数代码。

windbg 中有一个 !idt 命令就是用来寻找数字对应的函数代码。

lkd> !idt 3

Dumping IDT: fffff804347e1000

03: fffff80438000f00 nt!KiBreakpointTrap

可以看到，它对应的内核层面的 nt!KiBreakpointTrap 函数，同样的道理我们看下 2E。

lkd> !idt 2E

Dumping IDT: fffff804347e1000

2e: fffff804380065c0 nt!KiSystemService

现在终于搞清楚了，进入内核态的第一个方法就是 KiSystemService，从名字看，它是一个类似的通用方法，接下来就是怎么进去到内核态相关的 读取文件 方法中呢？

要想找到这个答案，可以回头看下刚才的汇编代码 mov eax,6 ，这里的 6 就是内核态需要路由到的方法编号，哈哈，那它对应着哪一个方法呢？由于 windows 的闭源，我们无法知道，幸好在 github 上有人列了一个清单：https://j00ru.vexillium.org/syscalls/nt/64/  ，对应着我的机器上就是。

从图中可以看到其实就是  nt!NtReadFile ，到这里我想应该真相大白了，接下来我们聊下 syscall。

4. syscall 的走法

syscall 是 CPU 特别提供的一个功能，叫做 系统快速调用，言外之意，它借助了一组 MSR寄存器 帮助代码快速从 用户态 切到 内核态, 效率远比走 中断路由表 要快得多，这也就是为什么代码会有 if 判断，其实就是判断 cpu 是否支持这个功能。

刚才说到它借助了 MSR寄存器，其中一个寄存器 MSR_LSTAR 存放的是内核态入口函数地址，我们可以用 rdmsr c0000082 来看一下。

lkd> rdmsr c0000082
msr[c0000082] = fffff804`38006cc0

lkd> uf fffff804`38006cc0
nt!KiSystemCall64:
fffff804`38006cc0 0f01f8          swapgs
fffff804`38006cc3 654889242510000000 mov   qword ptr gs:[10h],rsp
fffff804`38006ccc 65488b2425a8010000 mov   rsp,qword ptr gs:[1A8h]
...

从代码中可以看到，它进入的是 nt!KiSystemCall64 函数，然后再执行后续的 6 对应的 nt!NtReadFile 完成业务逻辑，最终也由 nt!KiSystemCall64 完成 内核态 到 用户态 的切换。

知道了这两种方式，接下来可以把图稍微修补一下，增加 syscall 和 int xxx 两种入关途径。

三：总结

通过汇编代码分析，我们终于知道了 用户态 到 内核态 的切换原理，原来有两种途径，一个是 int 2e，一个是 syscall ，加深了我们对 C# 读取文件 的更深层理解。

netty系列进阶篇一：阻塞和多路复用到底是个啥？(代码片段)

...操作系统基础1-1用户态与内核态1-2系统调用1-3FileDescriptor文件描述符1-4简单跟踪程序的系统调用过程2、多路复用的流程3、调试NIO的系统调用三、章节总结一、进阶篇：Netty封装了什么？ 查看详情

io读写原理与io模型

...区分为两种：内核缓冲区与用户缓冲区：用户程序进行IO读写操作会发起系统调用，操作系统内核将磁盘数据读取到内核缓冲区，然后从内核缓冲区拷贝到用户缓冲区，流程如下：举例来说，如果要读取一个文件并通过网络发送... 查看详情

linux系统中内核态用户态和零拷贝技术解析

...是磁盘到内存的不同介质，右边形象地描述了每种介质的读写速率。一句话总结就是越靠近cpu，读写性能越快。了解了不同硬件介质的读写速率后，你会发现零拷贝技术是多么的香，对于追求极致性能的读写系统而言，掌握这个... 查看详情

上下文切换到底是什么？

1、内核空间的用户空间：        用户态和内核态是操作系统的两种运行状态，划分为这两种空间状态主要是为了对应用程序的访问能力进行限制，防止应用程序随意进行一些危险的操作导致系统崩溃，比如... 查看详情

用户态与内核态

...存地址，包括外围设备,例如硬盘,网卡，权限等级最高。用户态则权利有限，例如在内存分配中，有一部分内存是仅为内核态使用的，用户态code则不允许访问那些内存地址，每个进程只允许访问自己申请到的内存。而且不允许访... 查看详情

零拷贝

...端建立起socket连接之后，现在准备进行数据的传输。由于文件都存在于磁盘中，因此我们传输的流程是按照以下图一所示的过程进行传输的：图一：read、write进行文件传输的过程传统的数据传输是通过read和write这两个系统调用实... 查看详情

linux进程为啥有用户栈和内核栈，

...1个G分给内核态。linux进程有时需要调用内核资源时，如读写文件，io读写等，这时候是通过系统调用实现对内核资源的访问的，在访问内核资源前是用户栈，经过系统调用进入到内核态时，cpu的状态也由用户态变为内核态，访问... 查看详情

用户态和内核态的区别（转）(代码片段)

...，网卡，cpu也可以将自己从一个程序切换到另一个程序。用户态：只能受限的访问内存，且不允许访问外围设备，占用cpu的能力被剥夺，cpu资源可以被其他程序获取。 为什么要有用户态和内核态？由于需要限制不同的程序之... 查看详情

零拷贝(代码片段)

...回，这个速度就很快了。如果没有再到磁盘里查询，进行读写。那么一次io的操作就是：　　   　  1.从磁盘文件中拷贝到内核中的页缓存。这步是DMAcopy的，发生第一次copy。　　2.从页缓存拷贝到用户空间缓存... 查看详情

linux内核零拷贝技术

...用于磁盘数据通过网络进行交互，常见用法卸载磁盘文件从网络发送出去。常规的卸载文件方法流程如下所示。从上图可以看出软件流程一共复制了4次数据，内核态到用户态切换4次。读操作（复制两次，上下文... 查看详情

linux内核零拷贝技术

...用于磁盘数据通过网络进行交互，常见用法卸载磁盘文件从网络发送出去。常规的卸载文件方法流程如下所示。从上图可以看出软件流程一共复制了4次数据，内核态到用户态切换4次。读操作（复制两次，上下文... 查看详情

小知识点记录:内核态与用户态(代码片段)

...存条,网卡,磁盘,声卡,usb外设,LED…都属于外部资源;比如说读写文件的操作就会触发从用户态–>内核态的转换;先open打开文件,read读操作,write写操作;[系统调用]比如申请堆内存的操作,使用malloc()函数操作;这里呢又可以回想之前的... 查看详情

小知识点记录:内核态与用户态(代码片段)

...存条,网卡,磁盘,声卡,usb外设,LED…都属于外部资源;比如说读写文件的操作就会触发从用户态–>内核态的转换;先open打开文件,read读操作,write写操作;[系统调用]比如申请堆内存的操作,使用malloc()函数操作;这里呢又可以回想之前的... 查看详情

read系统调用剖析

...经过哪些处理最终到达磁盘的呢，数据又是怎么被拷贝到用户缓存区的呢？本文介绍了从read系统调用发出到结束处理的全过程。该过程包括两个部分：用户空间的处理、核心空间的处理。用户空间处理部分是系统调用从用户态... 查看详情

总在用户态调试c#程序，终还是搭了一个内核态环境(代码片段)

一：背景一直在用WinDbg调试用户态程序，并没有用它调试过内核态，毕竟不是做驱动开发，也没有在分析dump中需要接触用内核态的需求，但未知的事情总觉得很酷，加上最近在看《深入解析Windows操作系统... 查看详情

用户态内核态

Q：怎么从用户态切换到内核态A：用户程序调用系统调用的时候，用户程序先将系统调用号放入eax，执行int0x80指令触发中断，中断发生时，cpu切入内核态，从用户栈切换到内核栈，在内核栈中依次压入用户态的寄存器，也就是保... 查看详情

用户态-内核态

...音，一定会有操作硬件的需求，比如从磁盘上读一个电影文件，那就必须经历从用户态切换到内核态的过程，为此，用户程序必须使用系统调用（systemcall），系统调用陷入内核并调用操作系统，TRAP指令把用户态切换 查看详情

从内核文件系统看文件读写过程

...目录系统调用虚拟文件系统I/O缓冲区PageCacheAddressSpace文件读写基本流程回到顶部系统调用操作系统的主要功能是为管理硬件资源和为应用程序开发人员提供良好的环境，但是计算机系统的各种硬件资源是有限的，因此为了保证每... 查看详情