×
超值优惠券
¥50
100可用 有效期2天

全场图书通用(淘书团除外)

关闭
暂无评论
图文详情
  • ISBN:9787121384882
  • 装帧:平装-胶订
  • 册数:暂无
  • 重量:暂无
  • 开本:29cm
  • 页数:16,639页
  • 出版时间:2020-04-01
  • 条形码:9787121384882 ; 978-7-121-38488-2

本书特色

本书前身是《Windows内核安全与驱动开发》,重点围绕Windows操作系统的机制介绍内核安全编程技术,除了少数特殊章节,大部分内容均适用于Windows 2000至Windows 10操作系统,体系结构覆盖32位以及64位。同时本书也深入浅出地介绍了汇编基础和系统内核机制。本书共分为三篇,分别从不同的角度介绍内核编程技术。第1篇面向零基础的读者,其中“内核编程环境”“内核驱动运行与调试”“内核编程基础”重点介绍与内核编程相关的基本知识、开发环境搭建,以及基本的编程机制。“应用与内核通信”和“64位和32位内核开发差异”主要介绍应用层编程与内核编程的数据交互。*后,介绍了编程过程所需注意的事项,以及设计技巧。第2篇结合操作系统的机制,从*简单的“串口的过滤”开始,介绍了“键盘的过滤”‘“磁盘的过滤”“文件系统的过滤”“Windows过滤平台”“NDIS协议驱动”“NDIS小端口驱动”,以及“NDIS中间层驱动”。覆盖了整个Windows系统的主流过滤框架,并且深入剖析了文件透明加密解密的原理。第3篇侧重安全技术,重点介绍了安全编程所需要使用的知识,如“IA-32汇编基础”“Windows内核挂钩”“Windows通知与回调”“保护进程”,以及“代码注入与防注入”。本书由具有十多年终端安全开发经验的从业人员编写,以简洁实用为准则,理论与实际案例相结合。适用于计算机软件安全从业人员、有一定C语言基础且对计算机安全感兴趣的爱好者。

内容简介

本书前身是《Windows内核安全与驱动开发》, 重点围绕Windows操作系统的机制介绍内核安全编程技术, 除了少数特殊章节, 大部分内容均适用于Windows 2000至Windows 10操作系统, 体系结构覆盖32位以及64位。同时本书也深入浅出地介绍了汇编基础和系统内核机制。

目录

目 录



第1篇 基础篇
第1章 内核编程环境 002
1.1 下载开发编译环境 002
1.1.1 编译环境介绍 002
1.1.2 下载Visual Studio与WDK 004
1.2 编写**个C文件 006
1.2.1 通过Visual Studio新建工程 006
1.2.2 内核入口函数 007
1.2.3 编写入口函数体 008
1.3 编译**个驱动 010
1.3.1 通过Visual Studio编译 010
1.3.2 通过WDK直接编译 011
第2章 内核驱动运行与调试 013
2.1 驱动的运行 013
2.2 服务的基本操作 015
2.2.1 打开服务管理器 015
2.2.2 服务的注册 016
2.2.3 服务的启动与停止 018
2.2.4 服务的删除 019
2.2.5 服务的例子 020
2.2.6 服务小结 022
2.3 驱动的调试 022
2.3.1 基于VS WDK环境调试 022
2.3.2 基于Windbg调试 026
第3章 内核编程基础 029
3.1 上下文环境 029
3.2 中断请求级别 031
3.3 驱动异常 033
3.4 字符串操作 034
3.5 链表 036
3.5.1 头节点初始化 038
3.5.2 节点插入 038
3.5.3 链表遍历 039
3.5.4 节点移除 040
3.6 自旋锁 040
3.6.1 使用自旋锁 040
3.6.2 在双向链表中使用自旋锁 041
3.6.3 使用队列自旋锁提高性能 042
3.7 内存分配 043
3.7.1 常规内存分配 043
3.7.2 旁视列表 045
3.8 对象与句柄 049
3.9 注册表 054
3.9.1 注册表的打开与关闭 054
3.9.2 注册表的修改 056
3.9.3 注册表的读取 057
3.10 文件操作 060
3.10.1 文件的打开与关闭 060
3.10.2 文件的读写 063
3.11 线程与事件 066
3.11.1 使用系统线程 066
3.11.2 使用同步事件 067
第4章 应用与内核通信 070
4.1 内核方面的编程 071
4.1.1 生成控制设备 071
4.1.2 控制设备的名字和符号链接 073
4.1.3 控制设备的删除 074
4.1.4 分发函数 074
4.1.5 请求的处理 076
4.2 应用方面的编程 077
4.2.1 基本的功能需求 077
4.2.2 在应用程序中打开与关闭设备 077
4.2.3 设备控制请求 078
4.2.4 内核中的对应处理 080
4.2.5 结合测试的效果 082
第5章 64位和32位内核开发差异 083
5.1 64位系统新增机制 083
5.1.1 WOW64子系统 083
5.1.2 PatchGuard技术 086
5.1.3 64位驱动的编译、安装与运行 086
5.2 编程差异 087
5.2.1 汇编嵌入变化 087
5.2.2 预处理与条件编译 088
5.2.3 数据结构调整 088
第6章 内核编程技巧 090
6.1 初始化赋值问题 090
6.2 有效性判断 091
6.3 一次性申请 092
6.4 独立性与*小化原则 095
6.5 嵌套陷阱 097
6.6 稳定性处理 098
6.6.1 事前处理 098
6.6.2 事中处理 100
6.6.3 事后处理 104
第2篇 过滤篇
第7章 串口的过滤 106
7.1 过滤的概念 106
7.1.1 设备绑定的内核API之一 106
7.1.2 设备绑定的内核API之二 107
7.1.3 生成过滤设备并绑定 108
7.1.4 从名字获得设备对象 110
7.1.5 绑定所有串口 111
7.2 获得实际数据 112
7.2.1 请求的区分 112
7.2.2 请求的结局 113
7.2.3 写请求的数据 114
7.3 完整的代码 114
7.3.1 完整的分发函数 114
7.3.2 如何动态卸载 116
7.3.3 代码的编译与运行 117
第8章 键盘的过滤 119
8.1 技术原理 120
8.1.1 预备知识 120
8.1.2 Windows中从击键到内核 120
8.1.3 键盘硬件原理 122
8.2 键盘过滤的框架 122
8.2.1 找到所有的键盘设备 122
8.2.2 应用设备扩展 125
8.2.3 键盘过滤模块的DriverEntry 127
8.2.4 键盘过滤模块的动态卸载 127
8.3 键盘过滤的请求处理 129
8.3.1 通常的处理 129
8.3.2 PNP的处理 130
8.3.3 读的处理 131
8.3.4 读完成的处理 132
8.4 从请求中打印出按键信息 133
8.4.1 从缓冲区中获得KEYBOARD_
INPUT_DATA 133
8.4.2 从KEYBOARD_INPUT_DATA
中得到键 134
8.4.3 从MakeCode到实际字符 134
8.5 Hook分发函数 136
8.5.1 获得类驱动对象 136
8.5.2 修改类驱动的分发函数指针 137
8.5.3 类驱动之下的端口驱动 138
8.5.4 端口驱动和类驱动之间的
协作机制 139
8.5.5 找到关键的回调函数的条件 140
8.5.6 定义常数和数据结构 140
8.5.7 打开两种键盘端口驱动
寻找设备 141
8.5.8 搜索在KbdClass类驱动中的
地址 143
8.6 Hook键盘中断反过滤 145
8.6.1 中断:IRQ和INT 146
8.6.2 如何修改IDT 147
8.6.3 替换IDT中的跳转地址 148
8.6.4 QQ的PS/2反过滤措施 149
8.7 直接用端口操作键盘 150
8.7.1 读取键盘数据和命令端口 150
8.7.2 p2cUserFilter的*终实现 151
第9章 磁盘的虚拟 153
9.1 虚拟的磁盘 153
9.2 一个具体的例子 153
9.3 入口函数 154
9.3.1 入口函数的定义 154
9.3.2 Ramdisk驱动的入口函数 155
9.4 EvtDriverDeviceAdd函数 156
9.4.1 EvtDriverDeviceAdd的定义 156
9.4.2 局部变量的声明 157
9.4.3 磁盘设备的创建 157
9.4.4 如何处理发往设备的请求 158
9.4.5 用户配置的初始化 160
9.4.6 链接给应用程序 161
9.5 FAT12/16磁盘卷初始化 163
9.5.1 磁盘卷结构简介 163
9.5.2 Ramdisk对磁盘的初始化 164
9.6 驱动中的请求处理 170
9.6.1 请求的处理 170
9.6.2 读/写请求 171
9.6.3 DeviceIoControl请求 172
9.7 Ramdisk的编译和安装 175
9.7.1 编译 175
9.7.2 安装 175
9.7.3 对安装的深入探究 175
第10章 磁盘的过滤 177
10.1 磁盘过滤驱动的概念 177
10.1.1 设备过滤和类过滤 177
10.1.2 磁盘设备和磁盘卷设备
过滤驱动 177
10.1.3 注册表和磁盘卷设备过滤
驱动 178
10.2 具有还原功能的磁盘卷过滤驱动 178
10.2.1 简介 178
10.2.2 基本思想 179
10.3 驱动分析 179
10.3.1 DriverEntry函数 179
10.3.2 AddDevice函数 180
10.3.3 PnP请求的处理 184
10.3.4 Power请求的处理 188
10.3.5 DeviceIoControl请求的处理 189
10.3.6 bitmap的作用和分析 192
10.3.7 boot驱动完成回调函数和
稀疏文件 198
10.3.8 读/写请求的处理 200
第11章 文件系统的过滤与监控 209
11.1 文件系统的设备对象 210
11.1.1 控制设备与卷设备 210
11.1.2 生成自己的一个控制设备 211
11.2 文件系统的分发函数 212
11.2.1 普通的分发函数 212
11.2.2 文件过滤的快速IO分发函数 213
11.2.3 快速IO分发函数的一个实现 215
11.2.4 快速IO分发函数逐个简介 216
11.3 设备的绑定前期工作 217
11.3.1 动态地选择绑定函数 217
11.3.2 注册文件系统变动回调 219
11.3.3 文件系统变动回调的一个
实现 220
11.3.4 文件系统识别器 221
11.4 文件系统控制设备的绑定 222
11.4.1 生成文件系统控制设备的
过滤设备 222
11.4.2 绑定文件系统控制设备 223
11.4.3 利用文件系统控制请求 225
11.5 文件系统卷设备的绑定 227
11.5.1 从IRP中获得VPB指针 227
11.5.2 设置完成函数并等待IRP
完成 228
11.5.3 卷挂载IRP完成后的工作 231
11.5.4 完成函数的相应实现 233
11.5.5 绑定卷的实现 234
11.6 读/写操作的过滤 236
11.6.1 设置一个读处理函数 236
11.6.2 设备对象的区分处理 237
11.6.3 解析读请求中的文件信息 238
11.6.4 读请求的完成 241
11.7 其他操作的过滤 244
11.7.1 文件对象的生存周期 244
11.7.2 文件的打开与关闭 245
11.7.3 文件的删除 247
11.8 路径过滤的实现 248
11.8.1 取得文件路径的三种情况 248
11.8.2 打开成功后获取路径 249
11.8.3 在其他时刻获得文件路径 250
11.8.4 在打开请求完成之前获得
路径名 251
11.8.5 把短名转换为长名 253
11.9 把sfilter编译成静态库 254
11.9.1 如何方便地使用sfilter 254
11.9.2 初始化回调、卸载回调和
绑定回调 254
11.9.3 绑定与回调 256
11.9.4 插入请求回调 257
11.9.5 如何利用sfilter.lib 259
第12章 文件系统透明加密 263
12.1 文件透明加密的应用 263
12.1.1 防止企业信息泄密 263
12.1.2 文件透明加密防止企业信息
泄密 263
12.1.3 文件透明加密软件的例子 264
12.2 区分进程 265
12.2.1 机密进程与普通进程 265
12.2.2 找到进程名字的位置 266
12.2.3 得到当前进程的名字 267
12.3 内存映射与文件缓冲 268
12.3.1 记事本的内存映射文件 268
12.3.2 Windows的文件缓冲 269
12.3.3 文件缓冲:明文还是密文的
选择 270
12.3.4 清除文件缓冲 271
12.4 加密标识 274
12.4.1 保存在文件外、文件头还是
文件尾 274
12.4.2 隐藏文件头的大小 275
12.4.3 隐藏文件头的设置偏移 277
12.4.4 隐藏文件头的读/写偏移 277
12.5 文件加密表 278
12.5.1 何时进行加密操作 278
12.5.2 文件控制块与文件对象 279
12.5.3 文件加密表的数据结构与
初始化 280
12.5.4 文件加密表的操作:查询 281
12.5.5 文件加密表的操作:添加 282
12.5.6 文件加密表的操作:删除 283
12.6 文件打开处理
展开全部

作者简介

谭文,网名楚狂人,已有十七年客户端安全软件开发经验。先后在NEC、英特尔亚太研发有限公司、腾讯科技任职。曾经从事过企业安全软件、x86版Android的houdini项目、腾讯电脑管家、腾讯游戏安全等开发工作。对Windows内核有深入研究,现任腾讯科技游戏安全团队驱动程序开发负责人,专家工程师。陈铭霖,十余年终端开发经验,先后任深信服科技架构师、腾讯科技高级工程师;曾主导腾讯电脑管家内核安全驱动开发,以及疑难病毒打击项目、腾讯Windows服务器安全开发项目;对Windows及macOS系统有深入研究,在To C以及To B行业有丰富的开发经验,现任数篷科技高级架构师,终端安全负责人。

预估到手价 ×

预估到手价是按参与促销活动、以最优惠的购买方案计算出的价格(不含优惠券部分),仅供参考,未必等同于实际到手价。

确定
快速
导航