Windows内核编程不是针对修改Windows的内核进行的编程,这不同于UNIX或LINUX内核编程。Windows的内核并不公开,或者说Microsoft只公开了用于学习的一小部分内核(WRK)。但是Microsoft提供了Windows内核程序的开发包WDK(旧称DDK),Windows程序员可以通过WDK开发Windows内核程序。
一般来说内核程序的扩展名是.sys,属于PE文件。内核程序是运行在Ring0级的,因此内核程序要比应用层上的普通Ring3级程序有更高的权限。因此内核编程的应用,往往给传统软件带来更强的功能,实现技术上的飞跃。同理,黑客们也将传统的攻击程序或潜行程序从Ring3搬到了Ring0级去,以便于更隐蔽、更有效的监视或控制目标系统(如Rootkit)。
Windows内核程序在开发的过程中,建议在虚拟机中调试。因为这不同于普通的Windows编程,在内核中的死锁可以直接到整个操作系统的死锁。在内核中的非法内存访问可以直接导致蓝屏死机(BSOD,Blue Screen of Death)。所以为了高效的开发与调试内核程序,一般通过使用WinDbg之类的Ring0级调试工具在虚拟机中对目标程序进行调试(调试的时候需要到Microsoft官方网站去下载内核符号文件)。