注册 | 登录读书好,好读书,读好书!
读书网-DuShu.com
当前位置: 首页出版图书科学技术计算机/网络操作系统Windows内核安全与驱动开发

Windows内核安全与驱动开发

Windows内核安全与驱动开发

定 价:¥139.00

作 者: 谭文 等著
出版社: 电子工业出版社
丛编项:
标 签: WINDOWS 操作系统/系统开发 计算机/网络

购买这本书可以去


ISBN: 9787121262159 出版时间: 2015-06-01 包装:
开本: 页数: 字数:  

内容简介

  本书的前身是《天书夜读——从汇编语言到Windows内核编程》和《寒江独钓——Windows内核安全编程》。与Windows客户端安全软件开发相关的驱动程序开发是本书的主题。书中的程序使用环境从32位到64位,从Windows XP到Windows 8都有涉及,大部分程序不经过修改即可在Windows 10上运行。同时本书也深入浅出地介绍了进行内核安全编程所需要的操作系统、汇编等基础知识。本书共分三篇,基础篇囊括了驱动开发的基础知识,降低了入门的难度;开发篇介绍了在实际工作中可能遇到的各种开发需求的技术实现,包括:串口的过滤、键盘的过滤、磁盘的虚拟、磁盘的过滤、文件系统的过滤与监控、文件系统透明加密、文件系统微过滤驱动、网络传输层过滤、Windows过滤平台、NDIS协议驱动、NDIS小端口驱动、NDIS中间层驱动、IA-32汇编基础、IA-32体系中的内存地址、处理器权限级别切换、IA-32体系结构中的中断和Windows内核挂钩;高级篇包含了汇编语言、操作系统原理、处理器体系架构相关的内容。本书是由长期从事这个行业的工程师自己写的,所以处处以实用为准。对细节的考究主要体现在对实际问题的解决,而不是知识的详尽程度上。

作者简介

暂缺《Windows内核安全与驱动开发》作者简介

图书目录

基础篇
第1章内核上机指导
1.1下载和使用WDK
1.1.1下载并安装WDK
1.1.2编写第一个C文件
1.1.3编译一个工程
1.2安装与运行
1.2.1下载一个安装工具
1.2.2运行与查看输出信息
1.2.3在虚拟机中运行
1.3调试内核模块
1.3.1下载和安装WinDbg
1.3.2设置WindowsXP调试执行
1.3.3设置Vista调试执行
1.3.4设置VMware的管道虚拟串口
1.3.5设置Windows内核符号表
1.3.6实战调试first
第2章内核编程环境及其特殊性
2.1内核编程的环境
2.1.1隔离的应用程序
2.1.2共享的内核空间
2.1.3无处不在的内核模块
2.2数据类型
2.2.1基本数据类型
2.2.2返回状态
2.2.3字符串
2.3重要的数据结构
2.3.1驱动对象
2.3.2设备对象
2.3.3请求
2.4函数调用
2.4.1查阅帮助
2.4.2帮助中有的几类函数
2.4.3帮助中没有的函数
2.5Windows的驱动开发模型
2.6WDK编程中的特殊点
2.6.1内核编程的主要调用源
2.6.2函数的多线程安全性
2.6.3代码的中断级
2.6.4WDK中出现的特殊代码
第3章字符串与链表
3.1字符串操作
3.1.1使用字符串结构
3.1.2字符串的初始化
3.1.3字符串的拷贝
3.1.4字符串的连接
3.1.5字符串的打印
3.2内存与链表
3.2.1内存的分配与释放
3.2.2使用LIST_ENTRY
3.2.3使用长长整型数据
3.3自旋锁
3.3.1使用自旋锁
3.3.2在双向链表中使用自旋锁
3.3.3使用队列自旋锁提高性能
第4章文件、注册表、线程
4.1文件操作
4.1.1使用OBJECT_ATTRIBUTES
4.1.2打开和关闭文件
4.1.3文件读/写操作
4.2注册表操作
4.2.1注册表键的打开
4.2.2注册表键值的读
4.2.3注册表键值的写
4.3时间与定时器
4.3.1获得当前"滴答"数
4.3.2获得当前系统时间
4.3.3使用定时器
4.4线程与事件
4.4.1使用系统线程
4.4.2在线程中睡眠
4.4.3使用同步事件
第5章应用与内核通信
5.1内核方面的编程
5.1.1生成控制设备
5.1.2控制设备的名字和符号链接
5.1.3控制设备的删除
5.1.4分发函数
5.1.5请求的处理
5.2应用方面的编程
5.2.1基本的功能需求
5.2.2在应用程序中打开与关闭设备
5.2.3设备控制请求
5.2.4内核中的对应处理
5.2.5结合测试的效果
5.3阻塞、等待与安全设计
5.3.1驱动主动通知应用
5.3.2通信接口的测试
5.3.3内核中的缓冲区链表结构
5.3.4输入:内核中的请求处理中的安全检查
5.3.5输出处理与卸载清理
第6章64位和32位内核开发差异
6.164位系统新增机制
6.1.1WOW64子系统
6.1.2PatchGuard技术
6.1.364位驱动的编译、安装与运行
6.2编程差异
6.2.1汇编嵌入变化
6.2.2预处理与条件编译
6.2.3数据结构调整
开发篇
第7章串口的过滤
7.1过滤的概念
7.1.1设备绑定的内核API之一
7.1.2设备绑定的内核API之二
7.1.3生成过滤设备并绑定
7.1.4从名字获得设备对象
7.1.5绑定所有串口
7.2获得实际数据
7.2.1请求的区分
7.2.2请求的结局
7.2.3写请求的数据
7.3完整的代码
7.3.1完整的分发函数
7.3.2如何动态卸载
7.3.3代码的编译与运行
第8章键盘的过滤
8.1技术原理
8.1.1预备知识
8.1.2Windows中从击键到内核
8.1.3键盘硬件原理
8.2键盘过滤的框架
8.2.1找到所有的键盘设备
8.2.2应用设备扩展
8.2.3键盘过滤模块的DriverEntry
8.2.4键盘过滤模块的动态卸载
8.3键盘过滤的请求处理
8.3.1通常的处理
8.3.2PNP的处理
8.3.3读的处理
8.3.4读完成的处理
8.4从请求中打印出按键信息
8.4.1从缓冲区中获得KEYBOARD_INPUT_DATA
8.4.2从KEYBOARD_INPUT_DATA中得到键
8.4.3从MakeCode到实际字符
8.5Hook分发函数
8.5.1获得类驱动对象
8.5.2修改类驱动的分发函数指针
8.5.3类驱动之下的端口驱动
8.5.4端口驱动和类驱动之间的协作机制
8.5.5找到关键的回调函数的条件
8.5.6定义常数和数据结构
8.5.7打开两种键盘端口驱动寻找设备
8.5.8搜索在KbdClass类驱动中的地址
8.6Hook键盘中断反过滤
8.6.1中断:IRQ和INT
8.6.2如何修改IDT
8.6.3替换IDT中的跳转地址
8.6.4QQ的PS/2反过滤措施
8.7直接用端口操作键盘
8.7.1读取键盘数据和命令端口
8.7.2p2cUserFilter的最终实现
第9章磁盘的虚拟
9.1虚拟的磁盘
9.2一个具体的例子
9.3入口函数
9.3.1入口函数的定义
9.3.2Ramdisk驱动的入口函数
9.4EvtDriverDeviceAdd函数
9.4.1EvtDriverDeviceAdd的定义
9.4.2局部变量的声明
9.4.3磁盘设备的创建
9.4.4如何处理发往设备的请求
9.4.5用户配置的初始化
9.4.6链接给应用程序
9.4.7小结
9.5FAT12/16磁盘卷初始化
9.5.1磁盘卷结构简介
9.5.2Ramdisk对磁盘的初始化
9.6驱动中的请求处理
9.6.1请求的处理
9.6.2读/写请求
9.6.3DeviceIoControl请求
9.7Ramdisk的编译和安装
9.7.1编译
9.7.2安装
9.7.3对安装的深入探究
第10章磁盘的过滤
10.1磁盘过滤驱动的概念
10.1.1设备过滤和类过滤
10.1.2磁盘设备和磁盘卷设备过滤驱动
10.1.3注册表和磁盘卷设备过滤驱动
10.2具有还原功能的磁盘卷过滤驱动
10.2.1简介
10.2.2基本思想
10.3驱动分析
10.3.1DriverEntry函数
10.3.2AddDevice函数
10.3.3PnP请求的处理
10.3.4Power请求的处理
10.3.5DeviceIoControl请求的处理
10.3.6bitmap的作用和分析
10.3.7boot驱动完成回调函数和稀疏文件
10.3.8读/写请求的处理
第11章文件系统的过滤与监控
11.1文件系统的设备对象
11.1.1控制设备与卷设备
11.1.2生成自己的一个控制设备
11.2文件系统的分发函数
11.2.1普通的分发函数
11.2.2文件过滤的快速IO分发函数
11.2.3快速IO分发函数的一个实现
11.2.4快速IO分发函数逐个简介
11.3设备的绑定前期工作
11.3.1动态地选择绑定函数
11.3.2注册文件系统变动回调
11.3.3文件系统变动回调的一个实现
11.3.4文件系统识别器
11.4文件系统控制设备的绑定
11.4.1生成文件系统控制设备的过滤设备
11.4.2绑定文件系统控制设备
11.4.3利用文件系统控制请求
11.5文件系统卷设备的绑定
11.5.1从IRP中获得VPB指针
11.5.2设置完成函数并等待IRP完成
11.5.3卷挂载IRP完成后的工作
11.5.4完成函数的相应实现
11.5.5绑定卷的实现
11.6读/写操作的过滤
11.6.1设置一个读处理函数
11.6.2设备对象的区分处理
11.6.3解析读请求中的文件信息
11.6.4读请求的完成
11.7其他操作的过滤
11.7.1文件对象的生存周期
11.7.2文件的打开与关闭
11.7.3文件的删除
11.8路径过滤的实现
11.8.1取得文件路径的三种情况
11.8.2打开成功后获取路径
11.8.3在其他时刻获得文件路径
11.8.4在打开请求完成之前获得路径名
11.8.5把短名转换为长名
11.9把sfilter编译成静态库
11.9.1如何方便地使用sfilter
11.9.2初始化回调、卸载回调和绑定回调
11.9.3绑定与回调
11.9.4插入请求回调
11.9.5如何利用sfilter.lib
第12章文件系统透明加密
12.1文件透明加密的应用
12.1.1防止企业信息泄密
12.1.2文件透明加密防止企业信息泄密
12.1.3文件透明加密软件的例子
12.2区分进程
12.2.1机密进程与普通进程
12.2.2找到进程名字的位置
12.2.3得到当前进程的名字
12.3内存映射与文件缓冲
12.3.1记事本的内存映射文件
12.3.2Windows的文件缓冲
12.3.3文件缓冲:明文还是密文的选择
12.3.4清除文件缓冲
12.4加密标识
12.4.1保存在文件外、文件头还是文件尾
12.4.2隐藏文件头的大小
12.4.3隐藏文件头的设置偏移
12.4.4隐藏文件头的读/写偏移
12.5文件加密表
12.5.1何时进行加密操作
12.5.2文件控制块与文件对象
12.5.3文件加密表的数据结构与初始化
12.5.4文件加密表的操作:查询
12.5.5文件加密表的操作:添加
12.5.6文件加密表的操作:删除
12.6文件打开处理
12.6.1直接发送IRP进行查询与设置操作
12.6.2直接发送IRP进行读/写操作
12.6.3文件的非重入打开
12.6.4文件的打开预处理
12.7读/写加密和解密
12.7.1在读取时进行解密
12.7.2分配与释放MDL
12.7.3写请求加密
12.8crypt_file的组装
12.8.1crypt_file的初始化
12.8.2crypt_file的IRP预处理
12.8.3crypt_file的IRP后处理
第13章文件系统微过滤驱动
13.1文件系统微过滤驱动简介
13.1.1文件系统微过滤驱动的由来
13.1.2Minifilter的优点与不足
13.2Minifilter的编程框架
13.2.1微文件系统过滤的注册
13.2.2微过滤器的数据结构
13.2.3卸载回调函数
13.2.4预操作回调函数
13.2.5后操作回调函数
13.2.6其他回调函数
13.3Minifilter如何与应用程序通信
13.3.1建立通信端口的方法
13.3.2在用户态通过DLL使用通信端口的范例
13.4Minifilter的安装与加载
13.4.1安装Minifilter的INF文件
13.4.2启动安装完成的Minifilter
第14章网络传输层过滤
14.1TDI概要
14.1.1为何选择TDI
14.1.2从socket到Windows内核
14.1.3TDI过滤的代码例子
14.2TDI的过滤框架
14.2.1绑定TDI的设备
14.2.2唯一的分发函数
14.2.3过滤框架的实现
14.2.4主要过滤的请求类型
14.3生成请求:获取地址
14.3.1过滤生成请求
14.3.2准备解析IP地址与端口
14.3.3获取生成的IP地址和端口
14.3.4连接终端的生成与相关信息的保存
14.4控制请求
14.4.1TDI_ASSOCIATE_ADDRESS的过滤
14.4.2TDI_CONNECT的过滤
14.4.3其他的次功能号
14.4.4设置事件的过滤
14.4.5TDI_EVENT_CONNECT类型的设置事件的过滤
14.4.6直接获取发送函数的过滤
14.4.7清理请求的过滤
14.5本书例子tdifw.lib的应用
14.5.1tdifw库的回调接口
14.5.2tdifw库的使用例子
第15章Windows过滤平台
15.1WFP简介
15.2WFP框架
15.3基本对象模型
15.3.1过滤引擎
15.3.2垫片
15.3.3呼出接口
15.3.4分层
15.3.5子层
15.3.6过滤器
15.3.7呼出接口回调函数
15.4WFP操作
15.4.1呼出接口的注册与卸载
15.4.2呼出接口的添加与移除
15.4.3子层的添加与移除
15.4.4过滤器的添加
15.5WFP过滤例子
第16章NDIS协议驱动
16.1以太网包和网络驱动架构
16.1.1以太网包和协议驱动
16.1.2NDIS网络驱动
16.2协议驱动的DriverEntry
16.2.1生成控制设备
16.2.2注册协议
16.3协议与网卡的绑定
16.3.1协议与网卡的绑定概念
16.3.2绑定回调处理的实现
16.3.3协议绑定网卡的API
16.3.4解决绑定竞争问题
16.3.5分配接收和发送的包池与缓冲池
16.3.6OID请求的发送和请求完成回调
16.3.7ndisprotCreateBinding的最终实现
16.4绑定的解除
16.4.1解除绑定使用的API
16.4.2ndisprotShutdownBinding的实现
16.5在用户态操作协议驱动
16.5.1协议的收包与发包
16.5.2在用户态编程打开设备
16.5.3用DeviceIoControl发送控制请求
16.5.4用WriteFile发送数据包
16.5.5用ReadFile发送数据包
16.6在内核态完成功能的实现
16.6.1请求的分发与实现
16.6.2等待设备绑定完成与指定设备名
16.6.3指派设备的完成
16.6.4处理读请求
16.6.5处理写请求
16.7协议驱动的接收回调
16.7.1和接收包有关的回调函数
16.7.2ReceiveHandler的实现
16.7.3TransferDataCompleteHandler的实现
16.7.4ReceivePacketHandler的实现
16.7.5接收数据包的入队
16.7.6接收数据包的出队和读请求的完成
第17章NDIS小端口驱动
17.1小端口驱动的应用与概述
17.1.1小端口驱动的应用
17.1.2小端口驱动示例
17.1.3小端口驱动的运作与编程概述
17.2小端口驱动的初始化
17.2.1小端口驱动的DriverEntry
17.2.2小端口驱动的适配器结构
17.2.3配置信息的读取
17.2.4设置小端口适配器上下文
17.2.5MPInitialize的实现
17.2.6MPHalt的实现
17.3打开ndisprot设备
17.3.1IO目标
17.3.2给IO目标发送DeviceIoControl请求
17.3.3打开ndisprot接口并完成配置设备
17.4使用ndisprot发送包
17.4.1小端口驱动的发包接口
17.4.2发送控制块(TCB)
17.4.3遍历包组并填写TCB
17.4.4写请求的构建与发送
17.5使用ndisprot接收包
17.5.1提交数据包的内核API
17.5.2从接收控制块(RCB)提交包
17.5.3对ndisprot读请求的完成函数
17.5.4读请求的发送
17.5.5用于读包的WDF工作任务
17.5.6ndisedge读工作任务的生成与入列
17.6其他的特征回调函数的实现
17.6.1包的归还
17.6.2OID查询处理的直接完成
17.6.3OID设置处理
第18章NDIS中间层驱动
18.1NDIS中间层驱动概述
18.1.1Windows网络架构总结
18.1.2NDIS中间层驱动简介
18.1.3NDIS中间层驱动的应用
18.1.4NDIS包描述符结构深究
18.2中间层驱动的入口与绑定
18.2.1中间层驱动的入口函数
18.2.2动态绑定NIC设备
18.2.3小端口初始化(MpInitialize)
18.3中间层驱动发送数据包
18.3.1发送数据包原理
18.3.2包描述符"重利用"
18.3.3包描述符"重申请"
18.3.4发送数据包的异步完成
18.4中间层驱动接收数据包
18.4.1接收数据包概述
18.4.2用PtReceive接收数据包
18.4.3用PtReceivePacket接收
18.4.4对包进行过滤
18.5中间层驱动程序查询和设置
18.5.1查询请求的处理
18.5.2设置请求的处理
18.6NDIS句柄
18.6.1不可见的结构指针
18.6.2常见的NDIS句柄
18.6.3NDIS句柄误用问题
18.6.4一种解决方案
18.7生成普通控制设备
18.7.1在中间层驱动中添加普通设备
18.7.2使用传统方法来生成控制设备
第19章IA-32汇编基础
19.1x86内存、寄存器与堆栈
19.1.1_asm关键字
19.1.2x86中的mov指令
19.1.3x86中的寄存器与内存
19.1.4赋值语句的实现
19.2x86中函数的实现
19.2.1一个函数的例子
19.2.2堆栈的介绍
19.2.3寄存器的备份和恢复
19.2.4内部变量与返回值
19.3x86中函数的调用与返回
19.3.1函数的调用指令call
19.3.2通过堆栈传递参数
19.3.3从函数返回
19.3.4三种常见的调用协议
19.4从32位汇编到64位汇编
19.4.1Intel64与IA-32体系架构简介
19.4.264位指令与32位指令
19.4.3通用寄存器
19.564位下的函数实现
19.5.1函数概览
19.5.232位参数的传递
19.5.364位参数与返回值
19.5.4栈空间的开辟与恢复
第20章IA-32体系中的内存地址
20.1内存的虚拟地址
20.1.1C语言中的内存地址
20.1.2虚拟地址的构成
20.1.3段的选择
20.2全局描述符表和段描述符
20.2.1全局描述符表
20.2.2段类型
20.2.3段寄存器与段选择子
20.2.464位模式下的段
20.3分段编程实践
20.3.1系统表寄存器的结构
20.3.2在汇编语言中获取全局描述表的位置
20.3.3调试范例:sgdt指令的错误使用
20.3.4在64位下获得全局描述符表
20.4线性地址基础
20.4.1分页控制机制
20.4.2线性地址的转换
20.4.3混合页面大小
20.4.432位物理地址的页目录和页表项
20.5各种特殊分页方式
20.5.1PAE分页方式
20.5.2PSE-36分页机制
20.5.3IA-32e模式下的线性地址
20.6分页编程实践
20.6.1页目录和页目录指针表的获取
20.6.2页表的获取
20.6.3线性地址的结构
第21章处理器权限级别切换
21.1Ring0和Ring3权限级别
21.2保护模式下的分页内存保护
21.3分页内存不可执行保护
21.3.1不可执行保护原理
21.3.2不可执行保护的漏洞
21.3.3上机实践
21.4权限级别的切换
21.4.1调用门及其漏洞
21.4.2sysenter和sysexit指令
21.4.3上机实践
第22章IA-32体系结构中的中断
22.1中断基础知识
22.1.1中断描述符表
22.1.2中断处理过程
22.1.364位模式下的中断处理机制
22.1.4多核下的中断
22.2Windows中断机制
22.3中断编程实践
22.3.1IDTHook
22.3.2巧用IDTHook实现安全防护
第23章Windows内核挂钩
23.1系统服务描述符表挂钩
23.1.1系统服务描述符表(SSDT)
23.1.2系统服务描述符表挂钩的意图
23.1.3寻找要挂钩的函数的地址
23.1.4函数被挂钩的过程
23.1.5具体实现的代码
23.2函数导出表挂钩
23.2.1内核函数的种类
23.2.2挂钩IoCallDriver
23.2.3对跳转地址进行修改
23.3Windows7系统下IofCallDriver的跟踪
23.4Windows7系统下内联挂钩
23.4.1写入跳转指令并拷贝代码
23.4.2实现中继函数
高级篇
第24章Windows通知与回调
24.1Windows的事件通知与回调
24.2常用的事件通知
24.2.1创建进程通知
24.2.2创建线程通知
24.2.3加载模块通知
24.2.4注册表操作通知
24.3Windows回调机制
24.3.1回调对象
24.3.2回调对象的创建
24.3.3回调对象的注册
24.3.4回调的通告
24.4安全的死角,回调的应用
第25章保护进程
25.1内核对象简介
25.2内核对象的结构
25.3保护内核对象
25.3.1处理对象的打开
25.3.2处理句柄的复制
25.3.3处理句柄的继承
25.4进程的保护
25.4.1保护原理
25.4.2Vista以后的进程对象保护
25.4.3进程的其他保护
附录A如何使用本书的源码光盘
附录B练习题  

本目录推荐