类似推荐
编辑推荐
现代化Windows内部原理权威指南。
内容简介
本书剖析了Windows核心组件行为方式的“内部原理”,主要内容包括服务设备驱动程序和应用程序的系统机制(ALPC、对象管理器、同步、WNF、WoW64和处理器执行模型)、底层硬件架构(陷阱处理、分段和侧信道漏洞)、Windows虚拟化技术(包括基于虚拟化的安全、如何防范操作系统漏洞),以及操作系统为进行管理、配置和诊断所实现的底层机制细节,缓存管理器和文件系统驱动程序如何交互以提供对文件、目录和磁盘的可靠支持等。
作者简介
作者安德里亚·阿列维,一名系统级开发者和安全研究工程师,拥有超过15年的从业经验。他于2010年从米兰-比可卡大学(University of Milano-Bicocca)毕业,并获得计算机科学学士学位。在毕业论文中,他开发了一种能攻击所有Windows 7内核保护机制(PatchGuard和驱动程序强制签名)的64位主引导记录(MBR)Bootkit。
安德里亚还是一名逆向工程师,专精于从内核级代码到用户模式代码的操作系统内部原理。他是全球首款UEFI Bootkit(出于研究目的开发,并于2012年对外公布)的初始作者,开发过多种能绕过PatchGuard机制的技术,并撰写了大量研究论文和文章。同时他还开发了多款用于移除恶意软件并消除高级持续威胁的系统工具和软件。
章节目录
版权信息
内容提要
作者简介
序
前言
第8章 系统机制
8.1 处理器执行模型
8.1.1 段
8.1.2 任务状态段
8.2 硬件侧信道漏洞
8.2.1 乱序执行
8.2.2 CPU分支预测器
8.2.3 CPU缓存
8.2.4 侧信道攻击
8.3 Windows中的侧信道缓解措施
8.3.1 KVA影子
8.3.2 硬件间接分支控制(IBRS、IBPB、STIBP、SSBD)
8.3.3 Retpoline和导入优化
8.3.4 STIBP配对
8.4 陷阱调度
8.4.1 中断调度
8.4.2 基于线的中断和基于消息信号的中断
8.4.3 计时器处理
8.4.4 系统工作线程
8.4.5 异常调度
8.4.6 系统服务处理
8.5 WoW64(Windows-on-Windows)
8.5.1 WoW64核心
8.5.2 文件系统重定向
8.5.3 注册表重定向
8.5.4 AMD64平台上的x86模拟
8.5.5 ARM
8.5.6 内存模型
8.5.7 ARM64平台上的ARM32模拟
8.5.8 ARM64平台上的x86模拟
8.6 对象管理器
8.6.1 执行体对象
8.6.2 对象结构
8.7 同步
8.7.1 高IRQL同步
8.7.2 低IRQL同步
8.8 高级本地过程调用
8.8.1 连接模型
8.8.2 消息模型
8.8.3 异步操作
8.8.4 视图、区域和节
8.8.5 属性
8.8.6 Blob、句柄和资源
8.8.7 句柄的传递
8.8.8 安全性
8.8.9 性能
8.8.10 电源管理
8.8.11 ALPC直接事件属性
8.8.12 调试和跟踪
8.9 Windows通知设施
8.9.1 WNF功能
8.9.2 WNF用户
8.9.3 WNF状态名称和存储
8.9.4 WNF事件聚合
8.10 用户模式调试
8.10.1 内核支持
8.10.2 原生支持
8.10.3 Windows子系统支持
8.11 打包的应用程序
8.11.1 UWP应用程序
8.11.2 Centennial应用程序
8.11.3 主机活动管理器
8.11.4 状态存储库
8.11.5 依赖项小型存储库
8.11.6 后台任务和代理基础架构
8.11.7 打包应用程序的安装和启动
8.11.8 程序包激活
8.11.9 程序包注册
8.12 总结
第9章 虚拟化技术
9.1 Windows虚拟机监控程序
9.1.1 分区、进程和线程
9.1.2 虚拟机监控程序的启动
9.1.3 虚拟机监控程序内存管理器
9.1.4 Hyper-V调度器
9.1.5 虚拟化调用和虚拟机监控程序TLFS
9.1.6 拦截
9.1.7 综合中断控制器
9.1.8 Windows虚拟机监控程序平台API和EXO分区
9.1.9 嵌套虚拟化
9.1.10 ARM64上的Windows虚拟机监控程序
9.2 虚拟化栈
9.2.1 虚拟机管理器服务和工作进程
9.2.2 VID驱动程序和虚拟化栈内存管理器
9.2.3 虚拟机的诞生
9.2.4 VMBus
9.2.5 虚拟硬件支持
9.2.6 VA支持的虚拟机
9.3 基于虚拟化的安全性
9.3.1 虚拟信任级别和虚拟安全模式
9.3.2 VSM提供的服务及其要求
9.4 安全内核
9.4.1 虚拟中断
9.4.2 安全拦截
9.4.3 VSM系统调用
9.4.4 安全线程和调度
9.4.5 虚拟机监控程序实施的代码完整性
9.4.6 UEFI运行时虚拟化
9.4.7 VSM启动
9.4.8 安全内核内存管理器
9.4.9 热修补
9.5 隔离用户模式
9.5.1 Trustlet的创建
9.5.2 安全设备
9.5.3 基于VBS的隔区
9.5.4 系统防护运行时认证
9.6 总结
第10章 管理、诊断和跟踪
10.1 注册表
10.1.1 查看和更改注册表
10.1.2 注册表的使用
10.1.3 注册表数据类型
10.1.4 注册表的逻辑结构
10.1.5 应用程序配置单元
10.1.6 事务型注册表(TxR)
10.1.7 监控注册表活动
10.1.8 进程监视器的内部原理
10.1.9 注册表的内部原理
10.1.10 配置单元重组
10.1.11 注册表的命名空间和操作
10.1.12 稳定存储
10.1.13 注册表过滤
10.1.14 注册表虚拟化
10.1.15 注册表优化
10.2 Windows服务
10.2.1 服务应用程序
10.2.2 服务账户
10.2.3 服务控制管理器
10.2.4 服务控制程序
10.2.5 自启动服务的启动
10.2.6 延迟的自启动服务
10.2.7 触发启动的服务
10.2.8 启动错误
10.2.9 接受启动和最近一次的正确配置
10.2.10 服务故障
10.2.11 服务关闭
10.2.12 共享服务进程
10.2.13 服务标签
10.2.14 用户服务
10.2.15 打包的服务
10.2.16 受保护服务
10.3 任务计划和UBPM
10.3.1 任务计划程序
10.3.2 统一后台进程管理器
10.3.3 任务计划程序COM接口
10.4 Windows管理规范
10.4.1 WMI架构
10.4.2 WMI提供程序
10.4.3 通用信息模型和托管对象格式语言
10.4.4 类关联
10.4.5 WMI的实现
10.4.6 WMI的安全性
10.5 Windows事件跟踪
10.5.1 ETW初始化
10.5.2 ETW会话
10.5.3 ETW提供程序
10.5.4 提供事件
10.5.5 ETW记录器线程
10.5.6 事件的消费
10.5.7 系统记录器
10.5.8 ETW的安全性
10.6 动态跟踪
10.6.1 内部架构
10.6.2 DTrace类型库
10.7 Windows错误报告
10.7.1 用户应用程序崩溃
10.7.2 内核模式(系统)崩溃
10.7.3 进程挂起检测
10.8 全局标记
10.9 内核填充码
10.9.1 填充码引擎初始化
10.9.2 填充码数据库
10.9.3 驱动程序填充码
10.9.4 设备填充码
10.10 总结
第11章 缓存和文件系统
11.1 术语
11.2 缓存管理器的重要功能
11.2.1 单一集中化系统缓存
11.2.2 内存管理器
11.2.3 缓存的一致性
11.2.4 虚拟块缓存
11.2.5 基于流的缓存
11.2.6 可恢复文件系统支持
11.2.7 NTFS MFT工作集的增强
11.2.8 内存分区支持
11.3 缓存虚拟内存管理
11.4 缓存大小
11.4.1 缓存虚拟大小
11.4.2 缓存工作集大小
11.4.3 缓存物理大小
11.5 缓存数据结构
11.5.1 系统级缓存数据结构
11.5.2 每文件缓存数据结构
11.6 文件系统接口
11.6.1 向/从缓存复制
11.6.2 通过映射和固定接口进行缓存
11.6.3 通过直接内存访问接口进行缓存
11.7 快速I/O
11.8 预读取和延后写入
11.8.1 智能预读取
11.8.2 预读取的增强
11.8.3 回写缓存和惰性写入
11.8.4 为某个文件禁用惰性写入
11.8.5 强制缓存直接写入磁盘
11.8.6 刷新映射的文件
11.8.7 写入限流
11.8.8 系统线程
11.8.9 激进的后写入和低优先级惰性写入
11.8.10 动态内存
11.8.11 缓存管理器的磁盘I/O记账
11.9 文件系统
11.9.1 Windows文件系统格式
11.9.2 CDFS
11.9.3 UDF
11.9.4 FAT12、FAT16和FAT32
11.9.5 exFAT
11.9.6 NTFS
11.9.7 ReFS
11.9.8 文件系统驱动程序架构
11.9.9 本地FSD
11.9.10 远程FSD
11.9.11 文件系统操作
11.9.12 显式文件I/O
11.9.13 内存管理器的已修改和已映射页写入器
11.9.14 缓存管理器的惰性写入器
11.9.15 缓存管理器的预读取线程
11.9.16 内存管理器的页面错误处理程序
11.9.17 文件系统过滤器驱动程序和微过滤器
11.9.18 过滤命名管道和邮件槽
11.9.19 控制重分析点的行为
11.9.20 进程监视器
11.10 NT文件系统
11.10.1 高端文件系统的要求
11.10.2 可恢复性
11.10.3 安全性
11.10.4 数据冗余和容错
11.10.5 NTFS的高级功能
11.10.6 多数据流
11.10.7 基于Unicode的名称
11.10.8 通用索引设施
11.10.9 动态坏簇重映射
11.10.10 硬链接
11.10.11 符号(软)链接和交叉
11.10.12 压缩和稀疏文件
11.10.13 变更日志记录
11.10.14 每用户卷配额
11.10.15 链接跟踪
11.10.16 加密
11.10.17 POSIX风格的删除语义
11.10.18 碎片整理
11.10.19 动态分区
11.10.20 NTFS对分层卷的支持
11.11 NTFS驱动程序
11.12 NTFS的磁盘结构
11.12.1 卷
11.12.2 簇
11.12.3 主文件表
11.12.4 文件记录号
11.12.5 文件记录
11.12.6 文件名
11.12.7 隧道
11.12.8 常驻和非常驻属性
11.12.9 数据压缩和稀疏文件
11.12.10 压缩稀疏数据
11.12.11 非稀疏数据的压缩
11.12.12 稀疏文件
11.12.13 变更日志文件
11.12.14 索引
11.12.15 对象ID
11.12.16 配额跟踪
11.12.17 综合安全性
11.12.18 重分析点
11.12.19 存储保留和NTFS预留
11.12.20 事务支持
11.12.21 隔离
11.12.22 事务型API
11.12.23 磁盘上的实现
11.12.24 日志记录的实现
11.13 NTFS恢复支持
11.13.1 设计
11.13.2 元数据日志记录
11.13.3 日志文件服务
11.13.4 日志记录类型
11.13.5 恢复
11.13.6 分析扫描
11.13.7 重做扫描
11.13.8 撤销扫描
11.13.9 NTFS坏簇恢复
11.13.10 自治愈
11.13.11 联机磁盘检查和快速修复
11.14 加密文件系统
11.14.1 首次加密文件
11.14.2 解密过程
11.14.3 备份加密的文件
11.14.4 复制加密的文件
11.14.5 BitLocker加密卸载
11.14.6 联机加密支持
11.15 直接访问磁盘
11.15.1 DAX驱动程序模型
11.15.2 DAX卷
11.15.3 DAX卷上缓存和未缓存的I/O
11.15.4 可执行映像的映射
11.15.5 块卷
11.15.6 文件系统过滤器驱动程序和DAX
11.15.7 刷新DAX模式的I/O
11.15.8 大型页和巨型页的支持
11.15.9 虚拟PM磁盘和存储空间支持
11.16 复原文件系统
11.16.1 Minstore架构
11.16.2 B+树的物理布局
11.16.3 分配器
11.16.4 页表
11.16.5 Minstore I/O
11.16.6 ReFS架构
11.16.7 ReFS在磁盘上的结构
11.16.8 对象ID
11.16.9 安全性和变更日志
11.17 ReFS高级功能
11.17.1 文件块克隆(快照支持)和稀疏VDL
11.17.2 ReFS直写
11.17.3 ReFS恢复支持
11.17.4 泄漏检测
11.17.5 叠瓦式磁记录卷
11.17.6 ReFS对分层卷和SMR的支持
11.17.7 容器压实
11.17.8 压缩和幻象
11.18 存储空间
11.18.1 存储空间的内部架构
11.18.2 存储空间提供的服务
11.19 总结
第12章 启动和关机
12.1 引导过程
12.1.1 UEFI引导
12.1.2 BIOS引导过程
12.1.3 安全启动
12.1.4 Windows启动管理器
12.1.5 启动菜单
12.1.6 运行启动应用程序
12.1.7 测量启动
12.1.8 可信执行
12.1.9 Windows操作系统加载器
12.1.10 从iSCSI启动
12.1.11 虚拟机监控程序加载器
12.1.12 VSM启动策略
12.1.13 安全运行
12.1.14 初始化内核与执行体子系统
12.1.15 内核初始化阶段1
12.1.16 Smss、Csrss和Wininit
12.1.17 ReadyBoot
12.1.18 自动启动的映像
12.1.19 关机
12.1.20 休眠和快速启动
12.1.21 Windows恢复环境(WinRE)
12.1.22 安全模式
12.1.23 安全模式下加载的驱动程序
12.1.24 可感知安全模式的用户程序
12.1.25 启动状态文件
12.2 总结
深入解析Windows操作系统(第7版卷2)是2024年由人民邮电出版社出版,作者[美] 安德里亚·阿列维。
得书感谢您对《深入解析Windows操作系统(第7版卷2)》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
