Windows内核编程pdf电子书下载

书籍介绍

查看更多关于的内容

图书目录

第1篇基础篇 2

第1章内核编程环境 2

1.1下载开发编译环境 2

1.1.1编译环境介绍 2

1.1.2 下载Visual Studio与WDK 4

1.2编写第一个C文件 6

1.2.1通过Visual Studio新建工程 6

2.2内核入口函数 7

1.2.3编写入口函数体 8

1.3编译第一个驱动 10

1.3.1通过Visual Studio编译 10

1.3.2通过WDK直接编译 11

第2章内核驱动运行与调试 13

2.1驱动的运行 13

2.2服务的基本操作 15

2.2.1打开服务管理器 15

2.2.2服务的注册 16

2.2.3服务的启动与停止 18

2.2.4服务的删除 19

2.2.5服务的例子 20

2.2.6服务小结 22

2.3驱动的调试 22

2.3.1基于VS+WDK环境调试 22

2.3.2基于W indbg调试 26

第3章内核编程基础 29

3.1上下文环境 29

3.2中断请求级别 31

3.3驱动异常 33

3.4字符串操作 34

3.5链表 36

3.5.1头节点初始化 38

3.5.2节点插入 38

3.5.3链表遍历 39

3.5.4节点移除 40

3.6自旋锁 40

3.6.1使用自旋锁 40

3.6.2在双向链表中使用自旋锁 41

3.6.3使用队列自旋锁提高性能 42

3.7内存分配 43

3.7.1常规内存分配 43

3.7.2旁视列表 45

3.8对象与句柄 49

3.9注册表 54

3.9.1注册表的打开与关闭 54

3.9.2注册表的修改 56

3.9.3注册表的读取 57

3.10文件操作 60

3.10.1文件的打开与关闭 60

3.10.2文件的读写 63

3.11线程与事件 66

3.11.1使用系统线程 66

3.11.2使用同步事件 67

第4章应用与内核通信 70

4.1内核方面的编程 71

4.1.1生成控制设备 71

4.1.2控制设备的名字和符号链接 73

4.1.3控制设备的删除 74

4.1.4分发函数 74

4.1.5请求的处理 76

4.2应用方面的编程 77

4.2.1基本的功能需求 77

4.2.2在应用程序中打开与关闭设备 77

4.2.3设备控制请求 78

4.2.4内核中的对应处理 80

4.2.5结合测试的效果 82

第5章 64位和32位内核开发差异 83

5.1 64位系统新增机制 83

5.1.1 WOW64子系统 83

5.1.2 PatchGuard技术 86

5.1.3 64位驱动的编译、安装与运行 86

5.2编程差异 87

5.2.1汇编嵌入变化 87

5.2.2预处理与条件编译 88

5.2.3数据结构调整 88

第6章内核编程技巧 90

6.1初始化赋值问题 90

6.2有效性判断 91

6.3一次性申请 92

6.4独立性与最小化原则 95

6.5嵌套陷阱 97

6.6稳定性处理 98

6.6.1事前处理 98

6.6.2事中处理 100

6.6.3事后处理 104

第2篇过滤篇 106

第7章串口的过滤 106

7.1过滤的概念 106

7.1.1设备绑定的内核API之一 106

7.1.2设备绑定的内核API之二 107

7.1.3生成过滤设备并绑定 108

7.1.4从名字获得设备对象 110

7.1.5绑定所有串口 111

7.2获得实际数据 112

7.2.1请求的区分 112

7.2.2请求的结局 113

7.2.3写请求的数据 114

7.3完整的代码 114

7.3.1完整的分发函数 114

7.3.2如何动态卸载 116

7.3.3代码的编译与运行 117

第8章键盘的过滤 119

8.1技术原理 120

8.1.1预备知识 120

8.1.2 Windows中从击键到内核 120

8.1.3键盘硬件原理 122

8.2键盘过滤的框架 122

8.2.1找到所有的键盘设备 122

8.2.2应用设备扩展 125

8.2.3键盘过滤模块的DriverEntry 127

8.2.4键盘过滤模块的动态卸载 127

8.3键盘过滤的请求处理 129

8.3.1通常的处理 129

8.3.2 PNP的处理 130

8.3.3读的处理 131

8.3.4读完成的处理 132

8.4从请求中打印出按键信息 133

8.4.1从缓冲区中获得KEYBOARD INPUT DATA 133

8.4.2从KEYBOARD INPUT DATA中得到键 134

8.4.3从MakeCode到实际字符 134

8.5 Hook分发函数 136

8.5.1获得类驱动对象 136

8.5.2修改类驱动的分发函数指针 137

8.5.3类驱动之下的端口驱动 138

8.5.4端口驱动和类驱动之间的协作机制 139

8.5.5找到关键的回调函数的条件 140

8.5.6定义常数和数据结构 140

8.5.7打开两种键盘端口驱动寻找设备 141

8.5.8搜索在KbdClass类驱动中的地址 143

8.6 Hook键盘中断反过滤 145

8.6.1中断：IRQ和INT 146

8.6.2如何修改IDT 147

8.6.3替换IDT中的跳转地址 148

8.6.4 QQ的PS/2反过滤措施 149

8.7直接用端口操作键盘 150

8.7.1读取键盘数据和命令端口 150

8.7.2 p2cUserFilter的最终实现 151

第9章磁盘的虚拟 153

9.1虚拟的磁盘 153

9.2一个具体的例子 153

9.3入口函数 154

9.3.1入口函数的定义 154

9.3.2 Ramdisk驱动的入口函数 155

9.4 EvtDriverDeviceAdd函数 156

9.4.1 EvtDriverDeviceAdd的定义 156

9.4.2局部变量的声明 157

9.4.3磁盘设备的创建 157

9.4.4如何处理发往设备的请求 158

9.4.5用户配置的初始化 160

9.4.6链接给应用程序 161

9.5 FAT12/16磁盘卷初始化 163

9.5.1磁盘卷结构简介 163

9.5.2 Ramdisk对磁盘的初始化 164

9.6驱动中的请求处理 170

9.6.1请求的处理 170

9.6.2读/写请求 171

9.6.3 DeviceIoControl请求 172

9.7 Ramdisk的编译和安装 175

9.7.1编译 175

9.7.2安装 175

9.7.3对安装的深入探究 175

第10章磁盘的过滤 177

10.1磁盘过滤驱动的概念 177

10.1.1设备过滤和类过滤 177

10.1.2磁盘设备和磁盘卷设备过滤驱动 177

10.1.3注册表和磁盘卷设备过滤驱动 178

10.2具有还原功能的磁盘卷过滤驱动 178

10.2.1简介 178

10.2.2基本思想 179

10.3驱动分析 179

10.3.1 DriverEntry函数 179

10.3.2 AddDevice函数 180

10.3.3 PnP请求的处理 184

10.3.4 Power请求的处理 188

10.3.5 DeviceIoControl请求的处理 189

10.3.6 bitmap的作用和分析 192

10.3.7 boot驱动完成回调函数和稀疏文件 198

10.3.8读/写请求的处理 200

第11章文件系统的过滤与监控 209

11.1文件系统的设备对象 210

11.1.1控制设备与卷设备 210

11.1.2生成自己的一个控制设备 211

11.2文件系统的分发函数 212

11.2.1普通的分发函数 212

11.2.2文件过滤的快速IO分发函数 213

11.2.3快速IO分发函数的一个实现 215

11.2.4 快速IO分发函数逐个简介 216

11.3设备的绑定前期工作 217

11.3.1动态地选择绑定函数 217

11.3.2注册文件系统变动回调 219

11.3.3文件系统变动回调的一个实现 220

11.3.4文件系统识别器 221

11.4文件系统控制设备的绑定 222

11.4.1生成文件系统控制设备的过滤设备 222

11.4.2绑定文件系统控制设备 223

11.4.3利用文件系统控制请求 225

11.5文件系统卷设备的绑定 227

11.5.1从IRP中获得VPB指针 227

11.5.2设置完成函数并等待IRP完成 228

11.5.3卷挂载IRP完成后的工作 231

11.5.4完成函数的相应实现 233

11.5.5绑定卷的实现 234

11.6读/写操作的过滤 236

11.6.1设置一个读处理函数 236

11.6.2设备对象的区分处理 237

11.6.3解析读请求中的文件信息 238

11.6.4读请求的完成 241

11.7其他操作的过滤 244

11.7.1文件对象的生存周期 244

11.7.2文件的打开与关闭 245

11.7.3文件的删除 247

11.8路径过滤的实现 248

11.8.1取得文件路径的三种情况 248

11.8.2打开成功后获取路径 249

11.8.3在其他时刻获得文件路径 250

11.8.4在打开请求完成之前获得路径名 251

11.8.5把短名转换为长名 253

11.9把sfilter编译成静态库 254

11.9.1如何方便地使用sfilter 254

11.9.2初始化回调、卸载回调和绑定回调 254

11.9.3绑定与回调 256

11.9.4插入请求回调 257

11.9.5如何利用sfilter.lib 259

第12章文件系统透明加密 263

12.1文件透明加密的应用 263

12.1.1防止企业信息泄密 263

12.1.2文件透明加密防止企业信息泄密 263

12.1.3文件透明加密软件的例子 264

12.2区分进程 265

12.2.1机密进程与普通进程 265

12.2.2找到进程名字的位置 266

12.2.3得到当前进程的名字 267

12.3内存映射与文件缓冲 268

12.3.1记事本的内存映射文件 268

12.3.2 Windows的文件缓冲 269

12.3.3文件缓冲：明文还是密文的选择 270

12.3.4清除文件缓冲 271

12.4加密标识 274

12.4.1保存在文件外、文件头还是文件尾 274

12.4.2隐藏文件头的大小 275

12.4.3隐藏文件头的设置偏移 277

12.4.4隐藏文件头的读/写偏移 277

12.5文件加密表 278

12.5.1何时进行加密操作 278

12.5.2文件控制块与文件对象 279

12.5.3文件加密表的数据结构与初始化 280

12.5.4文件加密表的操作：查询 281

12.5.5文件加密表的操作：添加 282

12.5.6文件加密表的操作：删除 283

12.6文件打开处理 284

12.6.1直接发送I RP进行查询与设置操作 285

12.6.2直接发送IRP进行读/写操作 287

12.6.3文件的非重入打开 288

12.6.4文件的打开预处理 291

12.7读/写加密和解密 296

12.7.1在读取时进行解密 296

12.7.2分配与释放MDL 297

12.7.3写请求加密 298

12.8 crypt_file的组装 300

12.8.1 crypt file的初始化 300

12.8.2 crypt file的IRP预处理 301

12.8.3 crypt_file的IRP后处理 304

第13章文件系统微过滤驱动 308

13.1文件系统微过滤驱动简介 308

13.1.1文件系统微过滤驱动的由来 308

13.1.2 Minifilter的优点与不足 309

13.2 Minifilter的编程框架 309

13.2.1微文件系统过滤的注册 310

13.2.2微过滤器的数据结构 311

13.2.3卸载回调函数 314

13.2.4预操作回调函数 314

13.2.5后操作回调函数 317

13.2.6其他回调函数 318

13.3 Minifilter如何与应用程序通信 320

13.3.1建立通信端口的方法 320

13.3.2在用户态通过DLL使用通信端口的范例 322

13.4 Minifilter的安装与加载 325

13.4.1安装Minifilter的INF文件 325

13.4.2启动安装完成的Minifilter 326

第14章网络传输层过滤 328

14.1 TDI概要 328

14.1.1为何选择TDI 328

14.1.2从socket到Windows内核 329

14.1.3 TDI过滤的代码例子 330

14.2 TDI的过滤框架 330

14.2.1绑定TDI的设备 330

14.2.2唯一的分发函数 331

14.2.3过滤框架的实现 333

14.2.4主要过滤的请求类型 335

14.3生成请求：获取地址 336

14.3.1过滤生成请求 336

14.3.2准备解析IP地址与端口 337

14.3.3获取生成的IP地址和端口 338

14.3.4连接终端的生成与相关信息的保存 340

14.4控制请求 341

14.4.1 TDI ASSOCIATE ADDRESS的过滤 341

14.4.2 TDI CONNECT的过滤 343

14.4.3其他的次功能号 344

14.4.4设置事件的过滤 345

14.4.5 TDI EVENT CONNECT类型的设置事件的过滤 346

14.4.6直接获取发送函数的过滤 348

14.4.7清理请求的过滤 350

14.5本书例子tdifw.lib的应用 351

14.5.1 tdifw库的回调接口 351

14.5.2 tdifw库的使用例子 353

第15章 Windows过滤平台 355

15.1 WFP简介 355

15.2 WFP框架 355

15.3基本对象模型 357

15.3.1过滤引擎 357

15.3.2垫片 357

15.3.3呼出接口 357

15.3.4分层 358

15.3.5子层 359

15.3.6过滤器 360

15.3.7呼出接口回调函数 364

15.4 WFP操作 369

15.4.1呼出接口的注册与卸载 369

15.4.2呼出接口的添加与移除 370

15.4.3子层的添加与移除 371

15.4.4过滤器的添加 372

15.5 WFP过滤例子 372

第16章 NDIS协议驱动 380

16.1以太网包和网络驱动架构 380

16.1.1以太网包和协议驱动 380

16.1.2 NDIS网络驱动 381

16.2协议驱动的DriverEntry 382

16.2.1生成控制设备 382

16.2.2注册协议 383

16.3协议与网卡的绑定 385

16.3.1协议与网卡的绑定概念 385

16.3.2绑定回调处理的实现 386

16.3.3协议绑定网卡的API 388

16.3.4解决绑定竞争问题 389

16.3.5分配接收和发送的包池与缓冲池 390

16.3.6 OID请求的发送和请求完成回调 391

16.3.7 ndisprotCreateBinding的最终实现 395

16.4绑定的解除 400

16.4.1解除绑定使用的API 400

16.4.2 ndisprotShutdownBinding的实现 402

16.5在用户态操作协议驱动 405

16.5.1协议的收包与发包 405

16.5.2在用户态编程打开设备 405

16.5.3用DeviceIoControl发送控制请求 407

16.5.4用WriteFile发送数据包 409

16.5.5用ReadFile发送数据包 410

16.6在内核态完成功能的实现 412

16.6.1请求的分发与实现 412

16.6.2等待设备绑定完成与指定设备名 412

16.6.3指派设备的完成 413

16.6.4处理读请求 416

16.6.5处理写请求 418

16.7协议驱动的接收回调 422

16.7.1和接收包有关的回调函数 422

16.7.2 ReceiveHandler的实现 423

16.7.3 TransferDataCompleteHandler的实现 427

16.7.4 ReceivePacketHandler的实现 428

16.7.5接收数据包的入队 430

16.7.6接收数据包的出队和读请求的完成 432

第17章 NDIS小端口驱动 437

17.1小端口驱动的应用与概述 437

17.1.1小端口驱动的应用 437

17.1.2小端口驱动示例 438

17.1.3小端口驱动的运作与编程概述 438

17.2小端口驱动的初始化 439

17.2.1小端口驱动的DriverEntry 439

17.2.2小端口驱动的适配器结构 441

17.2.3配置信息的读取 442

17.2.4设置小端口适配器上下文 443

17.2.5 MPInitialize的实现 444

17.2.6 MPHalt的实现 447

17.3打开ndisprot设备 447

17.3.1 IO目标 447

17.3.2给IO目标发送DeviceloControl请求 449

17.3.3打开ndisprot接口并完成配置设备 451

17.4使用ndisprot发送包 453

17.4.1小端口驱动的发包接口 453

17.4.2发送控制块（TCB） 454

17.4.3遍历包组并填写TCB 456

17.4.4写请求的构建与发送 458

17.5使用ndi sprot接收包 461

17.5.1提交数据包的内核API 461

17.5.2从接收控制块（RCB）提交包 462

17.5.3对ndisprot读请求的完成函数 463

17.5.4读请求的发送 466

17.5.5用于读包的WDF工作任务 467

17.5.6 ndisedge读工作任务的生成与入列 469

17.6其他的特征回调函数的实现 471

17.6.1包的归还 471

17.6.2 OID查询处理的直接完成 472

17.6.3 OID设置处理 475

第18章 NDIS中间层驱动 477

18.1 NDIS中间层驱动概述 477

18.1.1 Windows网络架构总结 477

18.1.2 NDIS中间层驱动简介 478

18.1.3 NDIS中间层驱动的应用 479

18.1.4 NDIS包描述符结构深究 480

18.2中间层驱动的入口与绑定 483

18.2.1中间层驱动的入口函数 483

18.2.2动态绑定NIC设备 483

18.2.3小端口初始化（MpInitialize） 485

18.3中间层驱动发送数据包 486

18.3.1发送数据包原理 486

18.3.2包描述符“重利用” 488

18.3.3包描述符“重申请” 490

18.3.4发送数据包的异步完成 492

18.4中间层驱动接收数据包 494

18.4.1接收数据包概述 494

18.4.2用PtReceive接收数据包 494

18.4.3用PtReceivePacket接收 499

18.4.4对包进行过滤 501

18.5中间层驱动程序查询和设置 504

18.5.1查询请求的处理 504

18.5.2设置请求的处理 506

18.6 NDIS句柄 507

18.6.1不可见的结构指针 507

18.6.2常见的NDIS句柄 508

18.6.3 NDIS句柄误用问题 510

18.6.4一种解决方案 512

18.7生成普通控制设备 512

18.7.1在中间层驱动中添加普通设备 512

18.7.2使用传统方法来生成控制设备 515

第3篇应用篇 522

第19章 IA-32汇编基础 522

19.1 x86内存、寄存器与堆栈 522

19.1.1 asm关键字 522

19.1.2 x86中的mov指令 523

19.1.3 x86中的寄存器与内存 523

19.1.4赋值语句的实现 524

19.2 x86中函数的实现 525

19.2.1一个函数的例子 525

19.2.2堆栈的介绍 526

19.2.3寄存器的备份和恢复 527

19.2.4内部变量与返回值 529

19.3 x86中函数的调用与返回 531

19.3.1函数的调用指令call 531

19.3.2通过堆栈传递参数 532

19.3.3从函数返回 533

19.3.4三种常见的调用协议 535

19.4从32位汇编到64位汇编 536

19.4.1 Intel 64与IA-32体系架构简介 536

19.4.2 64位指令与32位指令 536

19.4.3通用寄存器 537

19.5 64位下的函数实现 538

19.5.1函数概览 538

19.5.2 32位参数的传递 539

19.5.3 64位参数与返回值 540

19.5.4栈空间的开辟与恢复 541

第20章 Windows内核挂钩 544

20.1系统服务描述符表挂钩 545

20.1.1系统服务描述符表（SSDT） 545

20.1.2系统服务描述符表挂钩的意图 546

20.1.3寻找要挂钩的函数的地址 547

20.1.4函数被挂钩的过程 548

20.1.5具体实现的代码 549

20.2函数导出表挂钩 551

20.2.1内核函数的种类 551

20.2.2挂钩IoCallDriver 553

20.2.3对跳转地址进行修改 554

20.3 Windows 7系统下IofCallDriver的跟踪 555

20.4 Windows 7系统下内联挂钩 558

20.4.1写入跳转指令并拷贝代码 558

20.4.2实现中继函数 560

20.5中断与中断挂钩 562

20.5.1 IA-32体系结构中的中断 562

20.5.2中断处理过程 563

20.5.3 64位模式下的中断处理机制 564

20.5.4多核下的中断 565

20.5.5 Windows中断机制 570

20.5.6 IDT Hook 573

20.5.7 IDT Hook实现安全防护 574

第21章 Windows通知与回调 577

21.1 Windows的事件通知与回调 577

21.2常用的事件通知 577

21.2.1创建进程通知 578

21.2.2创建线程通知 582

21.2.3加载模块通知 583

21.2.4注册表操作通知 586

21.3 Windows回调机制 592

21.3.1回调对象 593

21.3.2回调对象的创建 593

21.3.3回调对象的注册 594

21.3.4回调的通告 595

21.4安全的死角，回调的应用 595

第22章保护进程 597

22.1内核对象简介 597

22.2内核对象的结构 598

22.3保护内核对象 599

22.3.1处理对象的打开 600

22.3.2处理句柄的复制 601

22.3.3处理句柄的继承 603

22.4进程的保护 609

22.4.1保护原理 609

22.4.2 Vista以后的进程对象保护 611

22.4.3进程的其他保护 612

第23章代码注入与防注入 613

23.1注入与防注入简介 613

23.2常用的注入方式 614

23.3主动注入 614

23.3.1 AppInit注入 615

23.3.2 SPI注入 618

23.3.3消息事件注入 620

23.3.4其他注入 621

23.4被动注入 621

23.4.1远线程注入 621

23.4.2 APC注入 622

23.4.3父子进程注入 623

23.5防注入 624

23.5.1防止主动注入 624

23.5.2防止被动注入 629

23.6总结 630

附录A 如何使用本书的源码 631

附录B 练习题 634

查看更多关于的内容

Windows内核编程PDF电子书下载