Windows内核安全与驱动开发电子书

前言

基础篇

第1章 内核上机指导

1.1 下载和使用WDK

1.2 安装与运行

1.3 调试内核模块

第2章 内核编程环境及其特殊性

2.1 内核编程的环境

2.2 数据类型

2.3 重要的数据结构

2.4 函数调用

2.5 Windows的驱动开发模型

2.6 WDK编程中的特殊点

第3章 字符串与链表

3.1 字符串操作

3.2 内存与链表

3.3 自旋锁

第4章 文件、注册表、线程

4.1 文件操作

4.2 注册表操作

4.3 时间与定时器

4.4 线程与事件

第5章 应用与内核通信

5.1 内核方面的编程

5.2 应用方面的编程

5.3 阻塞、等待与安全设计

第6章 64位和32位内核开发差异

6.1 64位系统新增机制

6.2 编程差异

开发篇

第7章 串口的过滤

7.1 过滤的概念

7.2 获得实际数据

7.3 完整的代码

第8章 键盘的过滤

8.1 技术原理

8.2 键盘过滤的框架

8.3 键盘过滤的请求处理

8.4 从请求中打印出按键信息

8.5 Hook分发函数

8.6 Hook键盘中断反过滤

8.7 直接用端口操作键盘

第9章 磁盘的虚拟

9.1 虚拟的磁盘

9.2 一个具体的例子

9.3 入口函数

9.4 EvtDriverDeviceAdd函数

9.5 FAT12/16磁盘卷初始化

9.6 驱动中的请求处理

9.7 Ramdisk的编译和安装

第10章 磁盘的过滤

10.1 磁盘过滤驱动的概念

10.2 具有还原功能的磁盘卷过滤驱动

10.3 驱动分析

第11章 文件系统的过滤与监控

11.1 文件系统的设备对象

11.2 文件系统的分发函数

11.3 设备的绑定前期工作

11.4 文件系统控制设备的绑定

11.5 文件系统卷设备的绑定

11.6 读/写操作的过滤

11.7 其他操作的过滤

11.8 路径过滤的实现

11.9 把sfilter编译成静态库

第12章 文件系统透明加密

12.1 文件透明加密的应用

12.2 区分进程

12.3 内存映射与文件缓冲

12.4 加密标识

12.5 文件加密表

12.6 文件打开处理

12.7 读/写加密和解密

12.8 crypt_file的组装

第13章 文件系统微过滤驱动

13.1 文件系统微过滤驱动简介

13.2 Minifilter的编程框架

13.3 Minifilter如何与应用程序通信

13.4 Minifilter的安装与加载

第14章 网络传输层过滤

14.1 TDI概要

14.2 TDI的过滤框架

14.3 生成请求：获取地址

14.4 控制请求

14.5 本书例子tdifw.lib的应用

第15章 Windows过滤平台

15.1 WFP简介

15.2 WFP框架

15.3 基本对象模型

15.4 WFP操作

15.5 WFP过滤例子

第16章 NDIS协议驱动

16.1 以太网包和网络驱动架构

16.2 协议驱动的DriverEntry

16.3 协议与网卡的绑定

16.4 绑定的解除

16.5 在用户态操作协议驱动

16.6 在内核态完成功能的实现

16.7 协议驱动的接收回调

第17章 NDIS小端口驱动

17.1 小端口驱动的应用与概述

17.2 小端口驱动的初始化

17.3 打开ndisprot设备

17.4 使用ndisprot发送包

17.5 使用ndisprot接收包

17.6 其他的特征回调函数的实现

第18章 NDIS中间层驱动

18.1 NDIS中间层驱动概述

18.2 中间层驱动的入口与绑定

18.3 中间层驱动发送数据包

18.4 中间层驱动接收数据包

18.5 中间层驱动程序查询和设置

18.6 NDIS句柄

18.7 生成普通控制设备

第19章 IA-32汇编基础

19.1 x86内存、寄存器与堆栈

19.2 x86中函数的实现

19.3 x86中函数的调用与返回

19.4 从32位汇编到64位汇编

19.5 64位下的函数实现

第20章 IA-32体系中的内存地址

20.1 内存的虚拟地址

20.2 全局描述符表和段描述符

20.3 分段编程实践

20.4 线性地址基础

20.5 各种特殊分页方式

20.6 分页编程实践

第21章 处理器权限级别切换

21.1 Ring0和Ring3权限级别

21.2 保护模式下的分页内存保护

21.3 分页内存不可执行保护

21.4 权限级别的切换

第22章 IA-32体系结构中的中断

22.1 中断基础知识

22.2 Windows中断机制

22.3 中断编程实践

第23章 Windows内核挂钩

23.1 系统服务描述符表挂钩

23.2 函数导出表挂钩

23.3 Windows 7系统下IofCallDriver的跟踪

23.4 Windows 7系统下内联挂钩

高级篇

第24章 Windows通知与回调

24.1 Windows的事件通知与回调

24.2 常用的事件通知

24.3 Windows回调机制

24.4 安全的死角，回调的应用

第25章 保护进程

25.1 内核对象简介

25.2 内核对象的结构

25.3 保护内核对象

25.4 进程的保护

附录A 如何使用本书的源码光盘

附录B 练习题