Windows核心編程(2020年電子工業出版社出版的圖書)

本書前身是《Windows核心安全與驅動開發》，重點圍繞Windows作業系統的機制介紹核心安全編程技術，除了少數特殊章節，大部分內容均適用於Windows 2000至Windows 10作業系統，體系結構覆蓋32位以及64位。同時本書也深入淺出地介紹了彙編基礎和系統核心機制。本書共分為三篇，分別從不同的角度介紹核心編程技術。第1篇面向零基礎的讀者，其中“核心編程環境”“核心驅動運行與調試”“核心編程基礎”重點介紹與核心編程相關的基本知識、開發環境搭建，以及基本的編程機制。“套用與核心通信”和“64位和32位核心開發差異”主要介紹套用層編程與核心編程的數據互動。*後，介紹了編程過程所需注意的事項，以及設計技巧。第2篇結合作業系統的機制，從*簡單的“串口的過濾”開始，介紹了“鍵盤的過濾”‘“磁碟的過濾”“檔案系統的過濾”“Windows過濾平台”“NDIS協定驅動”“NDIS小連線埠驅動”，以及“NDIS中間層驅動”。覆蓋了整個Windows系統的主流過濾框架，並且深入剖析了檔案透明加密解密的原理。第3篇側重安全技術，重點介紹了安全編程所需要使用的知識，如“IA-32彙編基礎”“Windows核心掛鈎”“Windows通知與回調”“保護進程”，以及“代碼注入與防注入”。本書由具有十多年終端安全開發經驗的從業人員編寫，以簡潔實用為準則，理論與實際案例相結合。適用於計算機軟體安全從業人員、有一定C語言基礎且對計算機安全感興趣的愛好者。

譚文，網名楚狂人，已有十七年客戶端安全軟體開發經驗。先後在NEC、英特爾亞太研發有限公司、騰訊科技任職。曾經從事過企業安全軟體、x86版Android的houdini項目、騰訊電腦管家、騰訊遊戲安全等開發工作。對Windows核心有深入研究，現任騰訊科技遊戲安全團隊驅動程式開發負責人，專家工程師。陳銘霖，十餘年終端開發經驗，先後任深信服科技架構師、騰訊科技高級工程師；曾主導騰訊電腦管家核心安全驅動開發，以及疑難病毒打擊項目、騰訊Windows伺服器安全開發項目；對Windows及macOS系統有深入研究，在To C以及To B行業有豐富的開發經驗，現任數篷科技高級架構師，終端安全負責人。

第1篇 基礎篇

第1章 核心編程環境 002

1.1 下載開發編譯環境 002

1.1.1 編譯環境介紹 002

1.1.2 下載Visual Studio與WDK 004

1.2 編寫第一個C檔案 006

1.2.1 通過Visual Studio新建工程 006

1.2.2 核心入口函式 007

1.2.3 編寫入口函式體 008

1.3 編譯第一個驅動 010

1.3.1 通過Visual Studio編譯 010

1.3.2 通過WDK直接編譯 011

第2章 核心驅動運行與調試 013

2.1 驅動的運行 013

2.2 服務的基本操作 015

2.2.1 打開服務管理器 015

2.2.2 服務的註冊 016

2.2.3 服務的啟動與停止 018

2.2.4 服務的刪除 019

2.2.5 服務的例子 020

2.2.6 服務小結 022

2.3 驅動的調試 022

2.3.1 基於VS WDK環境調試 022

2.3.2 基於Windbg調試 026

第3章 核心編程基礎 029

3.1 上下文環境 029

3.2 中斷請求級別 031

3.3 驅動異常 033

3.4 字元串操作 034

3.5 鍊表 036

3.5.1 頭節點初始化 038

3.5.2 節點插入 038

3.5.3 鍊表遍歷 039

3.5.4 節點移除 040

3.6 自旋鎖 040

3.6.1 使用自旋鎖 040

3.6.2 在雙向鍊表中使用自旋鎖 041

3.6.3 使用佇列自旋鎖提高性能 042

3.7 記憶體分配 043

3.7.1 常規記憶體分配 043

3.7.2 旁視列表 045

3.8 對象與句柄 049

3.9 註冊表 054

3.9.1 註冊表的打開與關閉 054

3.9.2 註冊表的修改 056

3.9.3 註冊表的讀取 057

3.10 檔案操作 060

3.10.1 檔案的打開與關閉 060

3.10.2 檔案的讀寫 063

3.11 執行緒與事件 066

3.11.1 使用系統執行緒 066

3.11.2 使用同步事件 067

第4章 套用與核心通信 070

4.1 核心方面的編程 071

4.1.1 生成控制設備 071

4.1.2 控制設備的名字和符號連結 073

4.1.3 控制設備的刪除 074

4.1.4 分發函式 074

4.1.5 請求的處理 076

4.2 套用方面的編程 077

4.2.1 基本的功能需求 077

4.2.2 在應用程式中打開與關閉設備 077

4.2.3 設備控制請求 078

4.2.4 核心中的對應處理 080

4.2.5 結合測試的效果 082

第5章 64位和32位核心開發差異 083

5.1 64位系統新增機制 083

5.1.1 WOW64子系統 083

5.1.2 PatchGuard技術 086

5.1.3 64位驅動的編譯、安裝與運行 086

5.2 編程差異 087

5.2.1 彙編嵌入變化 087

5.2.2 預處理與條件編譯 088

5.2.3 數據結構調整 088

第6章 核心編程技巧 090

6.1 初始化賦值問題 090

6.2 有效性判斷 091

6.3 一次性申請 092

6.4 獨立性與最小化原則 095

6.5 嵌套陷阱 097

6.6 穩定性處理 098

6.6.1 事前處理 098

6.6.2 事中處理 100

6.6.3 事後處理 104

第2篇 過濾篇

第7章 串口的過濾 106

7.1 過濾的概念 106

7.1.1 設備綁定的核心API之一 106

7.1.2 設備綁定的核心API之二 107

7.1.3 生成過濾設備並綁定 108

7.1.4 從名字獲得設備對象 110

7.1.5 綁定所有串口 111

7.2 獲得實際數據 112

7.2.1 請求的區分 112

7.2.2 請求的結局 113

7.2.3 寫請求的數據 114

7.3 完整的代碼 114

7.3.1 完整的分發函式 114

7.3.2 如何動態卸載 116

7.3.3 代碼的編譯與運行 117

第8章 鍵盤的過濾 119

8.1 技術原理 120

8.1.1 預備知識 120

8.1.2 Windows中從擊鍵到核心 120

8.1.3 鍵盤硬體原理 122

8.2 鍵盤過濾的框架 122

8.2.1 找到所有的鍵盤設備 122

8.2.2 套用設備擴展 125

8.2.3 鍵盤過濾模組的DriverEntry 127

8.2.4 鍵盤過濾模組的動態卸載 127

8.3 鍵盤過濾的請求處理 129

8.3.1 通常的處理 129

8.3.2 PNP的處理 130

8.3.3 讀的處理 131

8.3.4 讀完成的處理 132

8.4 從請求中列印出按鍵信息 133

8.4.1 從緩衝區中獲得KEYBOARD_

INPUT_DATA 133

8.4.2 從KEYBOARD_INPUT_DATA

中得到鍵 134

8.4.3 從MakeCode到實際字元 134

8.5 Hook分發函式 136

8.5.1 獲得類驅動對象 136

8.5.2 修改類驅動的分發函式指針 137

8.5.3 類驅動之下的連線埠驅動 138

8.5.4 連線埠驅動和類驅動之間的

協作機制 139

8.5.5 找到關鍵的回調函式的條件 140

8.5.6 定義常數和數據結構 140

8.5.7 打開兩種鍵盤連線埠驅動

尋找設備 141

8.5.8 搜尋在KbdClass類驅動中的

地址 143

8.6 Hook鍵盤中斷反過濾 145

8.6.1 中斷：IRQ和INT 146

8.6.2 如何修改IDT 147

8.6.3 替換IDT中的跳轉地址 148

8.6.4 QQ的PS/2反過濾措施 149

8.7 直接用連線埠操作鍵盤 150

8.7.1 讀取鍵盤數據和命令連線埠 150

8.7.2 p2cUserFilter的最終實現 151

第9章 磁碟的虛擬 153

9.1 虛擬的磁碟 153

9.2 一個具體的例子 153

9.3 入口函式 154

9.3.1 入口函式的定義 154

9.3.2 Ramdisk驅動的入口函式 155

9.4 EvtDriverDeviceAdd函式 156

9.4.1 EvtDriverDeviceAdd的定義 156

9.4.2 局部變數的聲明 157

9.4.3 磁碟設備的創建 157

9.4.4 如何處理髮往設備的請求 158

9.4.5 用戶配置的初始化 160

9.4.6 連結給應用程式 161

9.5 FAT12/16磁碟卷初始化 163

9.5.1 磁碟卷結構簡介 163

9.5.2 Ramdisk對磁碟的初始化 164

9.6 驅動中的請求處理 170

9.6.1 請求的處理 170

9.6.2 讀/寫請求 171

9.6.3 DeviceIoControl請求 172

9.7 Ramdisk的編譯和安裝 175

9.7.1 編譯 175

9.7.2 安裝 175

9.7.3 對安裝的深入探究 175

第10章 磁碟的過濾 177

10.1 磁碟過濾驅動的概念 177

10.1.1 設備過濾和類過濾 177

10.1.2 磁碟設備和磁碟卷設備

過濾驅動 177

10.1.3 註冊表和磁碟卷設備過濾

驅動 178

10.2 具有還原功能的磁碟卷過濾驅動 178

10.2.1 簡介 178

10.2.2 基本思想 179

10.3 驅動分析 179

10.3.1 DriverEntry函式 179

10.3.2 AddDevice函式 180

10.3.3 PnP請求的處理 184

10.3.4 Power請求的處理 188

10.3.5 DeviceIoControl請求的處理 189

10.3.6 bitmap的作用和分析 192

10.3.7 boot驅動完成回調函式和

稀疏檔案 198

10.3.8 讀/寫請求的處理 200

第11章 檔案系統的過濾與監控 209

11.1 檔案系統的設備對象 210

11.1.1 控制設備與卷設備 210

11.1.2 生成自己的一個控制設備 211

11.2 檔案系統的分發函式 212

11.2.1 普通的分發函式 212

11.2.2 檔案過濾的快速IO分發函式 213

11.2.3 快速IO分發函式的一個實現 215

11.2.4 快速IO分發函式逐個簡介 216

11.3 設備的綁定前期工作 217

11.3.1 動態地選擇綁定函式 217

11.3.2 註冊檔案系統變動回調 219

11.3.3 檔案系統變動回調的一個

實現 220

11.3.4 檔案系統識別器 221

11.4 檔案系統控制設備的綁定 222

11.4.1 生成檔案系統控制設備的

過濾設備 222

11.4.2 綁定檔案系統控制設備 223

11.4.3 利用檔案系統控制請求 225

11.5 檔案系統卷設備的綁定 227

11.5.1 從IRP中獲得VPB指針 227

11.5.2 設定完成函式並等待IRP

完成 228

11.5.3 卷掛載IRP完成後的工作 231

11.5.4 完成函式的相應實現 233

11.5.5 綁定卷的實現 234

11.6 讀/寫操作的過濾 236

11.6.1 設定一個讀處理函式 236

11.6.2 設備對象的區分處理 237

11.6.3 解析讀請求中的檔案信息 238

11.6.4 讀請求的完成 241

11.7 其他操作的過濾 244

11.7.1 檔案對象的生存周期 244

11.7.2 檔案的打開與關閉 245

11.7.3 檔案的刪除 247

11.8 路徑過濾的實現 248

11.8.1 取得檔案路徑的三種情況 248

11.8.2 打開成功後獲取路徑 249

11.8.3 在其他時刻獲得檔案路徑 250

11.8.4 在打開請求完成之前獲得

路徑名 251

11.8.5 把短名轉換為長名 253

11.9 把sfilter編譯成靜態庫 254

11.9.1 如何方便地使用sfilter 254

11.9.2 初始化回調、卸載回調和

綁定回調 254

11.9.3 綁定與回調 256

11.9.4 插入請求回調 257

11.9.5 如何利用sfilter.lib 259

第12章 檔案系統透明加密 263

12.1 檔案透明加密的套用 263

12.1.1 防止企業信息泄密 263

12.1.2 檔案透明加密防止企業信息

泄密 263

12.1.3 檔案透明加密軟體的例子 264

12.2 區分進程 265

12.2.1 機密進程與普通進程 265

12.2.2 找到進程名字的位置 266

12.2.3 得到當前進程的名字 267

12.3 記憶體映射與檔案緩衝 268

12.3.1 記事本的記憶體映射檔案 268

12.3.2 Windows的檔案緩衝 269

12.3.3 檔案緩衝：明文還是密文的

選擇 270

12.3.4 清除檔案緩衝 271

12.4 加密標識 274

12.4.1 保存在檔案外、檔案頭還是

檔案尾 274

12.4.2 隱藏檔案頭的大小 275

12.4.3 隱藏檔案頭的設定偏移 277

12.4.4 隱藏檔案頭的讀/寫偏移 277

12.5 檔案加密表 278

12.5.1 何時進行加密操作 278

12.5.2 檔案控制塊與檔案對象 279

12.5.3 檔案加密表的數據結構與

初始化 280

12.5.4 檔案加密表的操作：查詢 281

12.5.5 檔案加密表的操作：添加 282

12.5.6 檔案加密表的操作：刪除 283

12.6 檔案打開處理

· · · · · ·