本书前身是《Windows内核安全与驱动开发》，重点围绕Windows操作系统的机制介绍内核安全编程技术，除了少数特殊章节，大部分内容均适用于Windows 2000至Windows 10操作系统，体系结构覆盖32位以及64位。同时本书也深入浅出地介绍了汇编基础和系统内核机制。本书共分为三篇，分别从不同的角度介绍内核编程技术。第1篇面向零基础的读者，其中“内核编程环境”“内核驱动运行与调试”“内核编程基础”重点介绍与内核编程相关的基本知识、开发环境搭建，以及基本的编程机制。“应用与内核通信”和“64位和32位内核开发差异”主要介绍应用层编程与内核编程的数据交互。最后，介绍了编程过程所需注意的事项，以及设计技巧。第2篇结合操作系统的机制，从最简单的“串口的过滤”开始，介绍了“键盘的过滤”‘“磁盘的过滤”“文件系统的过滤”“Windows过滤平台”“NDIS协议驱动”“NDIS小端口驱动”，以及“NDIS中间层驱动”。覆盖了整个Windows系统的主流过滤框架，并且深入剖析了文件透明加密解密的原理。第3篇侧重安全技术，重点介绍了安全编程所需要使用的知识，如“IA-32汇编基础”“Windows内核挂钩”“Windows通知与回调”“保护进程”，以及“代码注入与防注入”。本书由具有十多年终端安全开发经验的从业人员编写，以简洁实用为准则，理论与实际案例相结合。适用于计算机软件安全从业人员、有一定C语言基础且对计算机安全感兴趣的爱好者。

到现在仍清晰记得初见铭霖兄时，他儒雅、谦逊，令人印象非常深刻，而我早在此之前就拜读过铭霖兄的著作。 现在回想起来，我不由得对那本书有了更加深刻的理解。 记得那是在2015年年末，当时我们正在策划规模约1000多个课时的系统内核安全课程，教研部的负责人当时向我推荐了一本集大成之作，并准备以此书为模板策划课程的大部分内容，而这个负责重新整理编辑以前中国内核领域两本大作的编者正是铭霖兄。 当时的课程研发工作从2015年年末一直持续到了2017年年初，虽然在此之前我们教研组的老师，以及课程研发的负责人都做过内核安全相关的研究，但仍然被其中冗杂的规则与部分讳莫如深的非公开技术细节拖住了脚步，整个研发工作进展颇为艰辛，而正是铭霖兄的那本著作，为我们艰难的研发之旅点亮了一盏明灯，大大加快了我们课程研发的步伐，也正是因为这次经历，使得陈铭霖这个名字印在了我的脑海里。 后来在一次偶然的机会下，得知铭霖兄正在写一本新的与Windows内核编程相关的书籍，顿时激起了我的好奇心，由于我也曾出版过两本书籍，深知耕耘文字的不易，像系统内核编程这种前后依存关系紧密、内部知识点交织复杂的书籍更是难以掌控，除了要能统领此领域内各技术细节外，还要有一种不为功利、默默耕耘的精神追求，这在当前国内的技术领域内是非常宝贵且罕见的。 然而缘分是个奇怪的东西，经过我一位挚友的介绍，后来有幸能与铭霖兄相识，我们初见便促膝长谈了近6个小时，至今铭霖兄那谈到内核编程话题时滔滔不绝的样子仍历历在目。 在我们谈到要出版的新著作时，其实我内心是有所疑虑的，虽然铭霖兄有过出版经历，并且在腾讯、深信服科技等顶级安全实验室的多年工作中积累了大量的宝贵经验，但当时铭霖兄也正值创业初期，如何能在繁忙且高压的创业工作之余照顾好家人，还要再安排出如此巨大的精力去沉淀梳理自己的所思所想？我不由得替铭霖兄默默担忧。 而一切忧虑在铭霖兄邀请我查看其书稿时瞬间烟消云散，当我看到这本600余页的“大部头”时，不由得替铭霖兄高兴，也不由得替国内的内核开发从业者们高兴。 这是一本从初学者角度出发，以内核安全高度为终点的书，本书从最基本的Windows内核级基本概念开始介绍，只要读者具备C语言基础就可以读懂，并在第二篇中由易到难地介绍了各种内核编程中的过滤技术，最后拔高到内核安全，不夸张地说，如果读者想要学习Windows内核安全，有这本书基本就够了。 随着网络空间安全的逐步发展以及对个人隐私的逐步重视，这几年略微降温的内核编程在个人隐私保护以及防泄密等领域渐渐升温，内核编程即将迎来第二春，而这本书不失为各位读者把握住这一技术潮流的最有利武器。 最后，在有幸作序之余，祝愿这本书能有更多的读者，能有更多的认可，能发挥更多的价值，希望这本书能成为国内Windows内核编程的经典著作。 任晓珲 十五派信息安全教育创始人 《黑客免杀攻防》作者 黑客反病毒组织创始人 2019年11月 前 言 Windows是当前主流的闭源操作系统，从第一个NT内核的Windows 2000至今，已经有20年左右的历史，在这漫长的20年内，为了满足日益变化的业务需求，以及应对不断升级的安全挑战，Windows操作系统内核一直不断升级与完善，其主要表现是内核中增加了新的逻辑模块与安全机制，其中最为典型的是64位的Windows操作系统内核对比32位内核增加了“PatchGuard”模块，这个模块的主要作用是检查内核是否被第三方内核模块“污染”，目的是防止病毒木马使用内核挂钩或劫持的技术篡改内核。新的安全机制往往会对安全开发者带来一定的影响，其原因是一些软件过度依赖系统未公开的底层技术，而正确的做法是开发者需紧密依赖系统提供的公开机制，利用可利用的机制完成相同的功能，这要求开发者对整个Windows内核机制有深入的理解，作者编写本书的目的之一，正是希望读者能对Windows内核有更全面、更深入的认识。 本书的前身是《Windows内核编程与驱动开发》，本书在前者的基础上，删除了部分过时章节，重写了大部分基础章节并新增了部分当前较为热门的技术章节，同时为了使本书内容更为聚焦，删除了与Windows内核关联性不强的内容。 本书面向的人群主要有以下几类。 ? 有一定C语言基础，有兴趣了解Windows内核的读者。 ? 有一定C语言基础，并且希望从事Windows内核开发的读者。 ? 有一定基础的Windows内核开发者，有意愿进一步提高的读者。 本书共分为三部分。第一部分，从初学者的角度出发，介绍Windows内核的基本概念、开发环境的搭建、系统机制以及内核编程的技巧；其中，第1章与第2章是本书最为基础的部分，介绍了内核编程的基本概念与开发环境搭建，初学者应该首先学习这部分内容。第3～5章重点介绍了系统的常用机制，这些机制的使用会贯穿本书所有章节，掌握这些常用机制是内核开发者最基本的要求。第6章介绍了内核编程的注意事项与技巧，这些注意事项与技巧可以帮助初学者少走弯路，快速入门。 第二篇为过滤篇，是本书的核心内容，分别详细介绍了Windows系统的过滤机制。首先以最简单的串口过滤驱动开始，剖析了一个过滤驱动的最基本要素，然后分别介绍了键盘过滤、磁盘过滤、文件过滤以及网络过滤，由易到难；对于网络过滤，本篇从不同的网络层次与角度介绍了TDI、WFP以及NDIS等机制。本篇内容涵盖了目前Windows系统绝大部分主流的过滤技术。 第三篇为应用篇，结合前面两篇的知识点，本篇综合介绍了Windows安全领域所需的其他技术，通过对本篇的学习，读者将会发现安全技术并不局限于系统提供的现成机制。本篇选取了目前主流安全软件所使用到的典型技术，深入浅出，首先介绍了CPU的基本知识点，然后基于上述知识点，第20章重点介绍了Windows下的挂钩技术，挂钩技术常被用于安全软件的检测、审计、拦截等技术；第22章与第23章从守护的角度，为读者介绍了自我保护技术。 笔者拥有十余年的Windows开发经验，主导过数据安全、主机安全、服务器安全等项目，涉及to C（面向消费者群体）和to B（面向企业用户群体）行业，深知Windows内核的复杂性，由于行业的特殊环境，to C和to B的内核技术方案选型不尽相同，因为不同的用户群体，其主机上软件存在参差不齐的同类安全软件，安全软件之间也存在大量的兼容性问题，这些问题的引入使得原本并不简单的内核编程更为复杂化。记得有很多读者问过我一个相同的问题：如何编写一个稳定的内核模块。这个问题其实没有标准答案，从笔者的经验来看，读者首先应该养成良好的编程习惯，然后深入理解系统的各种安全机制以及拦截方法，在编写代码时候，请思考如下几个问题：①这句代码是否会被其他软件拦截导致失败；②这句代码是否会触发一些第三方的回调函数；③这句代码失败后应该怎么处理。本书在为读者介绍技术的同时，也为读者介绍了笔者的内核开发心得体会与技巧，希望这些体会与技巧可以为读者带来更多的思考。内核编程类似于武林秘籍的内功修炼，需要时间沉淀，并非一蹴而就，请读者赋予更多的耐心，“成功之道，贵在坚持”。 技术书籍写作的工作量巨大而繁杂，在整个写作过程中，要感谢安全圈内朋友的支持，尤其感谢数篷科技的科学家吴烨以及CTO杨一飞、架构师王柏达，他们在工作中为我提供了大量的帮助，使得本书能顺利出版。感谢我的父母、妻子、女儿以及其他家人，在每天有限的时间里，需要花费更多的精力在写作上而缺少对他们的陪伴，尤其是我的女儿，在深感愧疚的同时，也感谢他们的理解与支持；感谢上一本书籍的热心读者，他们反馈的问题更好地完善了本书内容。最后，希望本书能为安全圈内的读者或者即将进入安全圈的读者带来更大的收获。 陈铭霖 2019年11月于深圳 本书的作者和贡献者 本书的前身是《Windows内核安全与驱动开发》，除了直接编写本书的作者外，也有业内技术人士协同编写了部分章节，所有作者一并介绍如下： 谭文，网名楚狂人，已有十七年客户端安全软件开发经验。先后在NEC、英特尔亚太研发有限公司、腾讯科技任职。曾经从事过企业安全软件、x86版Android的houdini项目、腾讯电脑管家、腾讯游戏安全等开发工作。对Windows内核有深入的研究，现任腾讯科技游戏安全团队驱动程序开发负责人，专家工程师。指导本书主题思想，编写了核心过滤章节，并审核了所有新章节。 陈铭霖，现任职数篷科技终端安全负责人，负责终端安全开发，之前曾任腾讯科技高级工程师，主导腾讯电脑管家客户端安全项目也曾任深信服科技Windows架构师以及虚拟化产品架构师。有十余年终端安全开发经验，覆盖to C、to B及to G行业，并具有千万级DAU安全产品的研发经验。主导了全书内容，重写了大部分章节，新增了部分章节。 张佩，Windows驱动开发技术专家，长期从事声卡、显卡等硬件驱动程序的开发、调试工作。目前在英特尔亚太研发有限公司平板电脑相关部门工作。曾著有《竹林蹊径——深入浅出Windows驱动开发》一书。为本书贡献了若干个网络驱动相关的章节。 杨潇，曾任Windows客户端安全工程师，先后在上海贝尔和北京Comodo工作。后来离职创业，目前为西安一家医疗科技公司的CEO。编写了本书磁盘驱动相关章节。 邵坚磊，网名wowocock，业内著名的Windows安全技术专家。长期从事Windows安全相关的内核开发工作。目前在奇虎360任职。编写了本书部分章节并提供了部分代码实例。 卢冠豪，中国台湾人。毕业于辅仁大学资讯工程学系。长期从事C、C++、网络与通信程序设计工作，参与过“端点安全”“资产管理”“网络流量分析”等项目的开发与维护，擅长Windows项目开发。编写了本书文件系统微端口过滤一章。 本书读者反馈的QQ群是4088102，想了解更多信息也可以关注微信订阅号：终端安全编程。 特别致谢 在本书的著作过程中，获得了安全界内热心朋友们的鼎力支持，他们的专业知识能力分布在国内不同的安全领域，为本书的基础定位、技术重点以及应用方向给出了科学的优化性建议。 下面是为本书提供过帮助的朋友： 任晓珲（A1Pass），十五派信息安全教育CEO，《黑客免杀攻防》的作者，一位具有远大理想抱负的技术专家，笔者的挚友。他的价值观深深影响着笔者，并且审阅了本书的主体脉络，结合当前行业形势为本书定位给出了宝贵的建议。 李常坤，奇安信技术总监，审阅了全书主体脉络，为本书的技术构成给出了宝贵的建议。 黄瀚（EvilKnight），安全技术专家，笔者的挚友，在本书最开始进行技术选型时提供了大量的安全人脉资源，使本书的技术选型可以很好地满足行业内不同的需要。在本书编写的后期，审阅了本书的主要章节，提出了很多宝贵的建议。 杨一飞，数篷科技CTO，前百度安全专家，笔者工作中的伙伴，生活上的挚友，行事低调却对技术有狂热的追求，在工作中为笔者提供了大量的帮助以及先进的技术理念，部分先进理念提炼后也被编写到本书中。 丰生强（@非虫），《Android软件安全与逆向分析》、《macOS软件安全与逆向分析》的作者，审阅了本书的主要章节，站在跨纬度的系统角度为本书给出了宝贵的意见。 胡训国，准动网络科技首席技术专家，前腾讯高级安全工程师，审阅了本书第三篇，帮忙勘正内容中的一些错误。 祁伟，华为终端安全专家，前腾讯高级安全工程师，审阅了本书的第一篇，帮忙勘正内容中的一些错误。 王淙，Windows内核驱动专家，审阅了本书第二篇的部分章节，帮忙勘正内容中的一些错误。 邹冠群，资深软件安全专家，为本书的技术细节提供了部分参考资料。 张天郁，数篷科技Windows驱动专家，前上海2345内核高级工程师，受邀帮忙整理本书部分代码，并帮忙更正代码中的错误。 周子淇，软件安全专家，为本书的技术细节提供了部分参考资料。 丁健海，高级安全研究员，软件安全专家，为本书的技术细节提供了部分参考资料。

目 录 第1篇 基础篇 第1章 内核编程环境 002 1.1 下载开发编译环境 002 1.1.1 编译环境介绍 002 1.1.2 下载Visual Studio与WDK 004 1.2 编写第一个C文件 006 1.2.1 通过Visual Studio新建工程 006 1.2.2 内核入口函数 007 1.2.3 编写入口函数体 008 1.3 编译第一个驱动 010 1.3.1 通过Visual Studio编译 010 1.3.2 通过WDK直接编译 011 第2章 内核驱动运行与调试 013 2.1 驱动的运行 013 2.2 服务的基本操作 015 2.2.1 打开服务管理器 015 2.2.2 服务的注册 016 2.2.3 服务的启动与停止 018 2.2.4 服务的删除 019 2.2.5 服务的例子 020 2.2.6 服务小结 022 2.3 驱动的调试 022 2.3.1 基于VS+WDK环境调试 022 2.3.2 基于Windbg调试 026 第3章 内核编程基础 029 3.1 上下文环境 029 3.2 中断请求级别 031 3.3 驱动异常 033 3.4 字符串操作 034 3.5 链表 036 3.5.1 头节点初始化 038 3.5.2 节点插入 038 3.5.3 链表遍历 039 3.5.4 节点移除 040 3.6 自旋锁 040 3.6.1 使用自旋锁 040 3.6.2 在双向链表中使用自旋锁 041 3.6.3 使用队列自旋锁提高性能 042 3.7 内存分配 043 3.7.1 常规内存分配 043 3.7.2 旁视列表 045 3.8 对象与句柄 049 3.9 注册表 054 3.9.1 注册表的打开与关闭 054 3.9.2 注册表的修改 056 3.9.3 注册表的读取 057 3.10 文件操作 060 3.10.1 文件的打开与关闭 060 3.10.2 文件的读写 063 3.11 线程与事件 066 3.11.1 使用系统线程 066 3.11.2 使用同步事件 067 第4章 应用与内核通信 070 4.1 内核方面的编程 071 4.1.1 生成控制设备 071 4.1.2 控制设备的名字和符号链接 073 4.1.3 控制设备的删除 074 4.1.4 分发函数 074 4.1.5 请求的处理 076 4.2 应用方面的编程 077 4.2.1 基本的功能需求 077 4.2.2 在应用程序中打开与关闭设备 077 4.2.3 设备控制请求 078 4.2.4 内核中的对应处理 080 4.2.5 结合测试的效果 082 第5章 64位和32位内核开发差异 083 5.1 64位系统新增机制 083 5.1.1 WOW64子系统 083 5.1.2 PatchGuard技术 086 5.1.3 64位驱动的编译、安装与运行 086 5.2 编程差异 087 5.2.1 汇编嵌入变化 087 5.2.2 预处理与条件编译 088 5.2.3 数据结构调整 088 第6章 内核编程技巧 090 6.1 初始化赋值问题 090 6.2 有效性判断 091 6.3 一次性申请 092 6.4 独立性与最小化原则 095 6.5 嵌套陷阱 097 6.6 稳定性处理 098 6.6.1 事前处理 098 6.6.2 事中处理 100 6.6.3 事后处理 104 第2篇 过滤篇 第7章 串口的过滤 106 7.1 过滤的概念 106 7.1.1 设备绑定的内核API之一 106 7.1.2 设备绑定的内核API之二 107 7.1.3 生成过滤设备并绑定 108 7.1.4 从名字获得设备对象 110 7.1.5 绑定所有串口 111 7.2 获得实际数据 112 7.2.1 请求的区分 112 7.2.2 请求的结局 113 7.2.3 写请求的数据 114 7.3 完整的代码 114 7.3.1 完整的分发函数 114 7.3.2 如何动态卸载 116 7.3.3 代码的编译与运行 117 第8章 键盘的过滤 119 8.1 技术原理 120 8.1.1 预备知识 120 8.1.2 Windows中从击键到内核 120 8.1.3 键盘硬件原理 122 8.2 键盘过滤的框架 122 8.2.1 找到所有的键盘设备 122 8.2.2 应用设备扩展 125 8.2.3 键盘过滤模块的DriverEntry 127 8.2.4 键盘过滤模块的动态卸载 127 8.3 键盘过滤的请求处理 129 8.3.1 通常的处理 129 8.3.2 PNP的处理 130 8.3.3 读的处理 131 8.3.4 读完成的处理 132 8.4 从请求中打印出按键信息 133 8.4.1 从缓冲区中获得KEYBOARD_ INPUT_DATA 133 8.4.2 从KEYBOARD_INPUT_DATA 中得到键 134 8.4.3 从MakeCode到实际字符 134 8.5 Hook分发函数 136 8.5.1 获得类驱动对象 136 8.5.2 修改类驱动的分发函数指针 137 8.5.3 类驱动之下的端口驱动 138 8.5.4 端口驱动和类驱动之间的 协作机制 139 8.5.5 找到关键的回调函数的条件 140 8.5.6 定义常数和数据结构 140 8.5.7 打开两种键盘端口驱动 寻找设备 141 8.5.8 搜索在KbdClass类驱动中的 地址 143 8.6 Hook键盘中断反过滤 145 8.6.1 中断：IRQ和INT 146 8.6.2 如何修改IDT 147 8.6.3 替换IDT中的跳转地址 148 8.6.4 QQ的PS/2反过滤措施 149 8.7 直接用端口操作键盘 150 8.7.1 读取键盘数据和命令端口 150 8.7.2 p2cUserFilter的最终实现 151 第9章 磁盘的虚拟 153 9.1 虚拟的磁盘 153 9.2 一个具体的例子 153 9.3 入口函数 154 9.3.1 入口函数的定义 154 9.3.2 Ramdisk驱动的入口函数 155 9.4 EvtDriverDeviceAdd函数 156 9.4.1 EvtDriverDeviceAdd的定义 156 9.4.2 局部变量的声明 157 9.4.3 磁盘设备的创建 157 9.4.4 如何处理发往设备的请求 158 9.4.5 用户配置的初始化 160 9.4.6 链接给应用程序 161 9.5 FAT12/16磁盘卷初始化 163 9.5.1 磁盘卷结构简介 163 9.5.2 Ramdisk对磁盘的初始化 164 9.6 驱动中的请求处理 170 9.6.1 请求的处理 170 9.6.2 读/写请求 171 9.6.3 DeviceIoControl请求 172 9.7 Ramdisk的编译和安装 175 9.7.1 编译 175 9.7.2 安装 175 9.7.3 对安装的深入探究 175 第10章 磁盘的过滤 177 10.1 磁盘过滤驱动的概念 177 10.1.1 设备过滤和类过滤 177 10.1.2 磁盘设备和磁盘卷设备 过滤驱动 177 10.1.3 注册表和磁盘卷设备过滤 驱动 178 10.2 具有还原功能的磁盘卷过滤驱动 178 10.2.1 简介 178 10.2.2 基本思想 179 10.3 驱动分析 179 10.3.1 DriverEntry函数 179 10.3.2 AddDevice函数 180 10.3.3 PnP请求的处理 184 10.3.4 Power请求的处理 188 10.3.5 DeviceIoControl请求的处理 189 10.3.6 bitmap的作用和分析 192 10.3.7 boot驱动完成回调函数和 稀疏文件 198 10.3.8 读/写请求的处理 200 第11章 文件系统的过滤与监控 209 11.1 文件系统的设备对象 210 11.1.1 控制设备与卷设备 210 11.1.2 生成自己的一个控制设备 211 11.2 文件系统的分发函数 212 11.2.1 普通的分发函数 212 11.2.2 文件过滤的快速IO分发函数 213 11.2.3 快速IO分发函数的一个实现 215 11.2.4 快速IO分发函数逐个简介 216 11.3 设备的绑定前期工作 217 11.3.1 动态地选择绑定函数 217 11.3.2 注册文件系统变动回调 219 11.3.3 文件系统变动回调的一个 实现 220 11.3.4 文件系统识别器 221 11.4 文件系统控制设备的绑定 222 11.4.1 生成文件系统控制设备的 过滤设备 222 11.4.2 绑定文件系统控制设备 223 11.4.3 利用文件系统控制请求 225 11.5 文件系统卷设备的绑定 227 11.5.1 从IRP中获得VPB指针 227 11.5.2 设置完成函数并等待IRP 完成 228 11.5.3 卷挂载IRP完成后的工作 231 11.5.4 完成函数的相应实现 233 11.5.5 绑定卷的实现 234 11.6 读/写操作的过滤 236 11.6.1 设置一个读处理函数 236 11.6.2 设备对象的区分处理 237 11.6.3 解析读请求中的文件信息 238 11.6.4 读请求的完成 241 11.7 其他操作的过滤 244 11.7.1 文件对象的生存周期 244 11.7.2 文件的打开与关闭 245 11.7.3 文件的删除 247 11.8 路径过滤的实现 248 11.8.1 取得文件路径的三种情况 248 11.8.2 打开成功后获取路径 249 11.8.3 在其他时刻获得文件路径 250 11.8.4 在打开请求完成之前获得 路径名 251 11.8.5 把短名转换为长名 253 11.9 把sfilter编译成静态库 254 11.9.1 如何方便地使用sfilter 254 11.9.2 初始化回调、卸载回调和 绑定回调 254 11.9.3 绑定与回调 256 11.9.4 插入请求回调 257 11.9.5 如何利用sfilter.lib 259 第12章 文件系统透明加密 263 12.1 文件透明加密的应用 263 12.1.1 防止企业信息泄密 263 12.1.2 文件透明加密防止企业信息 泄密 263 12.1.3 文件透明加密软件的例子 264 12.2 区分进程 265 12.2.1 机密进程与普通进程 265 12.2.2 找到进程名字的位置 266 12.2.3 得到当前进程的名字 267 12.3 内存映射与文件缓冲 268 12.3.1 记事本的内存映射文件 268 12.3.2 Windows的文件缓冲 269 12.3.3 文件缓冲：明文还是密文的 选择 270 12.3.4 清除文件缓冲 271 12.4 加密标识 274 12.4.1 保存在文件外、文件头还是 文件尾 274 12.4.2 隐藏文件头的大小 275 12.4.3 隐藏文件头的设置偏移 277 12.4.4 隐藏文件头的读/写偏移 277 12.5 文件加密表 278 12.5.1 何时进行加密操作 278 12.5.2 文件控制块与文件对象 279 12.5.3 文件加密表的数据结构与 初始化 280 12.5.4 文件加密表的操作：查询 281 12.5.5 文件加密表的操作：添加 282 12.5.6 文件加密表的操作：删除 283 12.6 文件打开处理 284 12.6.1 直接发送IRP进行查询与 设置操作 285 12.6.2 直接发送IRP进行读/写操作 287 12.6.3 文件的非重入打开 288 12.6.4 文件的打开预处理 291 12.7 读/写加密和解密 296 12.7.1 在读取时进行解密 296 12.7.2 分配与释放MDL 297 12.7.3 写请求加密 298 12.8 crypt_file的组装 300 12.8.1 crypt_file的初始化 300 12.8.2 crypt_file的IRP预处理 301 12.8.3 crypt_file的IRP后处理 304 第13章 文件系统微过滤驱动 308 13.1 文件系统微过滤驱动简介 308 13.1.1 文件系统微过滤驱动的由来 308 13.1.2 Minifilter的优点与不足 309 13.2 Minifilter的编程框架 309 13.2.1 微文件系统过滤的注册 310 13.2.2 微过滤器的数据结构 311 13.2.3 卸载回调函数 314 13.2.4 预操作回调函数 314 13.2.5 后操作回调函数 317 13.2.6 其他回调函数 318 13.3 Minifilter如何与应用程序通信 320 13.3.1 建立通信端口的方法 320 13.3.2 在用户态通过DLL使用通信 端口的范例 322 13.4 Minifilter的安装与加载 325 13.4.1 安装Minifilter的INF文件 325 13.4.2 启动安装完成的Minifilter 326 第14章 网络传输层过滤 328 14.1 TDI概要 328 14.1.1 为何选择TDI 328 14.1.2 从socket到Windows内核 329 14.1.3 TDI过滤的代码例子 330 14.2 TDI的过滤框架 330 14.2.1 绑定TDI的设备 330 14.2.2 唯一的分发函数 331 14.2.3 过滤框架的实现 333 14.2.4 主要过滤的请求类型 335 14.3 生成请求：获取地址 336 14.3.1 过滤生成请求 336 14.3.2 准备解析IP地址与端口 337 14.3.3 获取生成的IP地址和端口 338 14.3.4 连接终端的生成与相关信息 的保存 340 14.4 控制请求 341 14.4.1 TDI_ASSOCIATE_ADDRESS 的过滤 341 14.4.2 TDI_CONNECT的过滤 343 14.4.3 其他的次功能号 344 14.4.4 设置事件的过滤 345 14.4.5 TDI_EVENT_CONNECT类型 的设置事件的过滤 346 14.4.6 直接获取发送函数的过滤 348 14.4.7 清理请求的过滤 350 14.5 本书例子tdifw.lib的应用 351 14.5.1 tdifw库的回调接口 351 14.5.2 tdifw库的使用例子 353 第15章 Windows过滤平台 355 15.1 WFP简介 355 15.2 WFP框架 355 15.3 基本对象模型 357 15.3.1 过滤引擎 357 15.3.2 垫片 357 15.3.3 呼出接口 357 15.3.4 分层 358 15.3.5 子层 359 15.3.6 过滤器 360 15.3.7 呼出接口回调函数 364 15.4 WFP操作 369 15.4.1 呼出接口的注册与卸载 369 15.4.2 呼出接口的添加与移除 370 15.4.3 子层的添加与移除 371 15.4.4 过滤器的添加 372 15.5 WFP过滤例子 372 第16章 NDIS协议驱动 380 16.1 以太网包和网络驱动架构 380 16.1.1 以太网包和协议驱动 380 16.1.2 NDIS网络驱动 381 16.2 协议驱动的DriverEntry 382 16.2.1 生成控制设备 382 16.2.2 注册协议 383 16.3 协议与网卡的绑定 385 16.3.1 协议与网卡的绑定概念 385 16.3.2 绑定回调处理的实现 386 16.3.3 协议绑定网卡的API 388 16.3.4 解决绑定竞争问题 389 16.3.5 分配接收和发送的包池与 缓冲池 390 16.3.6 OID请求的发送和请求 完成回调 391 16.3.7 ndisprotCreateBinding的 最终实现 395 16.4 绑定的解除 400 16.4.1 解除绑定使用的API 400 16.4.2 ndisprotShutdownBinding的 实现 402 16.5 在用户态操作协议驱动 405 16.5.1 协议的收包与发包 405 16.5.2 在用户态编程打开设备 405 16.5.3 用DeviceIoControl发送 控制请求 407 16.5.4 用WriteFile发送数据包 409 16.5.5 用ReadFile发送数据包 410 16.6 在内核态完成功能的实现 412 16.6.1 请求的分发与实现 412 16.6.2 等待设备绑定完成与指定 设备名 412 16.6.3 指派设备的完成 413 16.6.4 处理读请求 416 16.6.5 处理写请求 418 16.7 协议驱动的接收回调 422 16.7.1 和接收包有关的回调函数 422 16.7.2 ReceiveHandler的实现 423 16.7.3 TransferDataCompleteHandler 的实现 427 16.7.4 ReceivePacketHandler的实现 428 16.7.5 接收数据包的入队 430 16.7.6 接收数据包的出队和读请求 的完成 432 第17章 NDIS小端口驱动 437 17.1 小端口驱动的应用与概述 437 17.1.1 小端口驱动的应用 437 17.1.2 小端口驱动示例 438 17.1.3 小端口驱动的运作与编程 概述 438 17.2 小端口驱动的初始化 439 17.2.1 小端口驱动的DriverEntry 439 17.2.2 小端口驱动的适配器结构 441 17.2.3 配置信息的读取 442 17.2.4 设置小端口适配器上下文 443 17.2.5 MPInitialize的实现 444 17.2.6 MPHalt的实现 447 17.3 打开ndisprot设备 447 17.3.1 IO目标 447 17.3.2 给IO目标发送DeviceIoControl 请求 449 17.3.3 打开ndisprot接口并完成 配置设备 451 17.4 使用ndisprot发送包 453 17.4.1 小端口驱动的发包接口 453 17.4.2 发送控制块（TCB） 454 17.4.3 遍历包组并填写TCB 456 17.4.4 写请求的构建与发送 458 17.5 使用ndisprot接收包 461 17.5.1 提交数据包的内核API 461 17.5.2 从接收控制块（RCB） 提交包 462 17.5.3 对ndisprot读请求的完成 函数 463 17.5.4 读请求的发送 466 17.5.5 用于读包的WDF工作任务 467 17.5.6 ndisedge读工作任务的生成 与入列 469 17.6 其他的特征回调函数的实现 471 17.6.1 包的归还 471 17.6.2 OID查询处理的直接完成 472 17.6.3 OID设置处理 475 第18章 NDIS中间层驱动 477 18.1 NDIS中间层驱动概述 477 18.1.1 Windows网络架构总结 477 18.1.2 NDIS中间层驱动简介 478 18.1.3 NDIS中间层驱动的应用 479 18.1.4 NDIS包描述符结构深究 480 18.2 中间层驱动的入口与绑定 483 18.2.1 中间层驱动的入口函数 483 18.2.2 动态绑定NIC设备 483 18.2.3 小端口初始化（MpInitialize） 485 18.3 中间层驱动发送数据包 486 18.3.1 发送数据包原理 486 18.3.2 包描述符“重利用” 488 18.3.3 包描述符“重申请” 490 18.3.4 发送数据包的异步完成 492 18.4 中间层驱动接收数据包 494 18.4.1 接收数据包概述 494 18.4.2 用PtReceive接收数据包 494 18.4.3 用PtReceivePacket接收 499 18.4.4 对包进行过滤 501 18.5 中间层驱动程序查询和设置 504 18.5.1 查询请求的处理 504 18.5.2 设置请求的处理 506 18.6 NDIS句柄 507 18.6.1 不可见的结构指针 507 18.6.2 常见的NDIS句柄 508 18.6.3 NDIS句柄误用问题 510 18.6.4 一种解决方案 512 18.7 生成普通控制设备 512 18.7.1 在中间层驱动中添加普通设备 512 18.7.2 使用传统方法来生成控制设备 515 第3篇 应用篇 第19章 IA-32汇编基础 522 19.1 x86内存、寄存器与堆栈 522 19.1.1 _asm关键字 522 19.1.2 x86中的mov指令 523 19.1.3 x86中的寄存器与内存 523 19.1.4 赋值语句的实现 524 19.2 x86中函数的实现 525 19.2.1 一个函数的例子 525 19.2.2 堆栈的介绍 526 19.2.3 寄存器的备份和恢复 527 19.2.4 内部变量与返回值 529 19.3 x86中函数的调用与返回 531 19.3.1 函数的调用指令call 531 19.3.2 通过堆栈传递参数 532 19.3.3 从函数返回 533 19.3.4 三种常见的调用协议 535 19.4 从32位汇编到64位汇编 536 19.4.1 Intel 64与IA-32体系 架构简介 536 19.4.2 64位指令与32位指令 536 19.4.3 通用寄存器 537 19.5 64位下的函数实现 538 19.5.1 函数概览 538 19.5.2 32位参数的传递 539 19.5.3 64位参数与返回值 540 19.5.4 栈空间的开辟与恢复 541 第20章 Windows内核挂钩 544 20.1 系统服务描述符表挂钩 545 20.1.1 系统服务描述符表（SSDT） 545 20.1.2 系统服务描述符表挂钩的意图 546 20.1.3 寻找要挂钩的函数的地址 547 20.1.4 函数被挂钩的过程 548 20.1.5 具体实现的代码 549 20.2 函数导出表挂钩 551 20.2.1 内核函数的种类 551 20.2.2 挂钩IoCallDriver 553 20.2.3 对跳转地址进行修改 554 20.3 Windows 7系统下IofCallDriver的 跟踪 555 20.4 Windows 7系统下内联挂钩 558 20.4.1 写入跳转指令并拷贝代码 558 20.4.2 实现中继函数 560 20.5 中断与中断挂钩 562 20.5.1 IA-32体系结构中的中断 562 20.5.2 中断处理过程 563 20.5.3 64位模式下的中断处理机制 564 20.5.4 多核下的中断 565 20.5.5 Windows中断机制 570 20.5.6 IDT Hook 573 20.5.7 IDT Hook实现安全防护 574 第21章 Windows通知与回调 577 21.1 Windows的事件通知与回调 577 21.2 常用的事件通知 577 21.2.1 创建进程通知 578 21.2.2 创建线程通知 582 21.2.3 加载模块通知 583 21.2.4 注册表操作通知 586 21.3 Windows回调机制 592 21.3.1 回调对象 593 21.3.2 回调对象的创建 593 21.3.3 回调对象的注册 594 21.3.4 回调的通告 595 21.4 安全的死角，回调的应用 595 第22章 保护进程 597 22.1 内核对象简介 597 22.2 内核对象的结构 598 22.3 保护内核对象 599 22.3.1 处理对象的打开 600 22.3.2 处理句柄的复制 601 22.3.3 处理句柄的继承 603 22.4 进程的保护 609 22.4.1 保护原理 609 22.4.2 Vista以后的进程对象保护 611 22.4.3 进程的其他保护 612 第23章 代码注入与防注入 613 23.1 注入与防注入简介 613 23.2 常用的注入方式 614 23.3 主动注入 614 23.3.1 AppInit注入 615 23.3.2 SPI注入 618 23.3.3 消息事件注入 620 23.3.4 其他注入 621 23.4 被动注入 621 23.4.1 远线程注入 621 23.4.2 APC注入 622 23.4.3 父子进程注入 623 23.5 防注入 624 23.5.1 防止主动注入 624 23.5.2 防止被动注入 629 23.6 总结 630 附录A 如何使用本书的源码 631 附录B 练习题 634