Windows深入剖析（內(nèi)核篇）

第１章　基礎(chǔ)知識(shí)
1.1　保護(hù)模式概述
1.1.1　保護(hù)模式的淵源
1.1.2　什么是保護(hù)模式
1.2　分段機(jī)制和段描述符表
1.3　段頁(yè)式尋址機(jī)制
1.4　保護(hù)模式下的異常
1.5　保護(hù)模式下的寄存器和新增指令集
1.6　介紹Soft-ICE for Windows
第２章　Windows內(nèi)核數(shù)據(jù)結(jié)構(gòu)
2.1　Windows可執(zhí)行文件首部的格式
2.1.1　MS-DOS文件頭
2.1.2　MS-Windows文件頭
2.1.3　Windows代碼段中的重定位信息
2.1.4　Windows可執(zhí)行文件實(shí)例剖析
2.2　Windows的模塊表
2.2.1　模塊表
2.2.2　Windows模塊表實(shí)例剖析——KERNEL的模塊表
2.3　Windows的默認(rèn)數(shù)據(jù)段
2.4　Windows的任務(wù)數(shù)據(jù)庫(kù)(TDB)
2.4.1　任務(wù)數(shù)據(jù)庫(kù)TDB
2.4.2　任務(wù)數(shù)據(jù)庫(kù)實(shí)例剖析——progman的TDB
2.4.3    PSP與PDB
2.4.4　進(jìn)程數(shù)據(jù)塊實(shí)例剖析
2.5　WND結(jié)構(gòu)及INTWNDCLASS結(jié)構(gòu)
2.6　Windows中的重表——THHOOK
第３章　Windows內(nèi)核引導(dǎo)過(guò)程
3.1　Windows啟動(dòng)過(guò)程的回顧
3.2　KERNEL初始化過(guò)程概述
3.3　KRNL386.EXE的STUB程序
3.4　KRNL386的STUB程序清單
3.5　BOOTSTRAP的執(zhí)行過(guò)程
3.5.1　BOOTSTRAP I的執(zhí)行過(guò)程
3.5.2    BOOTSTRAP II的執(zhí)行過(guò)程
3.5.3　初始化全局堆——globalInit()
3.5.4　創(chuàng)建模塊表
3.6　BOOTSTRAP源程序清單精選
第４章　Windows的啟動(dòng)和終止
4.1　Windows內(nèi)核初始化的流程
4.1.1　Windows內(nèi)核初始化的實(shí)現(xiàn)流程
4.1.2　程序段0117:D182-D19F：
4.1.3　程序段0117:D1AB-D212：
4.1.4　Windows怎樣滿足同時(shí)打開很多文件的需要？
4.1.5　0117:D2CB-D2E6程序段
4.1.6　0117:d764-d769程序段
4.2　Windows內(nèi)核初始化程序清單
4.3　退出Windows內(nèi)核的過(guò)程
4.3.1　ExitWindows()例程
4.3.2　ExitKernel()例程
第５章　Windows內(nèi)存管理機(jī)制
5.1　Windows內(nèi)存管理概述
5.2　內(nèi)存管理中的數(shù)據(jù)結(jié)構(gòu)
5.2.1　BurgerMaster段
5.2.2　全局堆信息結(jié)構(gòu)與全局場(chǎng)
5.2.3　局部堆與局部場(chǎng)
5.3　全局堆中內(nèi)存塊的組織形式
5.3.1　空閑鏈表
5.3.2　LRU鏈表
5.4　全局內(nèi)存分配標(biāo)記的含義
5.5　Windows的內(nèi)存管理函數(shù)
5.5.1　全局堆內(nèi)存管理函數(shù)
5.5.2　局部堆內(nèi)存管理函數(shù)
5.6　GlobalAlloc()的剖析
5.6.1　CheckAllocValidty()
5.6.2    SubCheckAllocValidty()
5.6.3    SubGAlloc()
5.6.4    AllocMemory()
5.6.5    FindFreeLow()
5.6.6    AllocFreeLow()
5.6.7    MoveBlockNearBy()
5.6.8    CheckBlockNearBy()
5.6.9    MoveFreeLow()
5.6.10    StorageBackward()
5.6.11    MarkSwapPage()
5.6.12    CheckFreeBorder()
5.6.13    ModiGlobalArena()
5.6.14    InsertIdleLink()
5.6.15    SubInsert()
5.6.16    BreakIdleLink()
5.6.17    UnifyFreeBlock()
5.6.18    GrowHeap()
5.6.19    GetDPMIInfo()
5.6.20    FreeDPMIBlock()
5.6.21    UnlinkWin386Block()
第６章　Windows模塊裝載機(jī)制
6.1　模塊的基本概念
6.2　實(shí)例和任務(wù)的概念
6.3　模塊裝載函數(shù)——LoadModule()
6.4　模塊裝載函數(shù)的重要輔助例程
6.4.1　檢測(cè)指定模塊是否已經(jīng)裝入內(nèi)存的函數(shù)——CheckLoadingModule()
6.4.2　為已裝入模塊創(chuàng)建新實(shí)例的函數(shù)——CreateNewInstance()
6.4.3　文件打開函數(shù)——OpenModuleFile()
6.4.4　模塊表創(chuàng)建函數(shù)——CreateMDB()
6.4.5　模塊標(biāo)記檢測(cè)函數(shù)——CHeckModuleFlag()
6.4.6　TDB和DLL引用鏈表段的創(chuàng)建函數(shù)——CreateTask()
6.4.7　任務(wù)數(shù)據(jù)庫(kù)的創(chuàng)建函數(shù)——CreateTDB()
6.4.8　任務(wù)模塊PDB的初始化函數(shù)——InitPDB_1()
6.4.9　模塊內(nèi)存分配函數(shù)——DoModuleAlloc()
6.4.10　段內(nèi)存分配函數(shù)——AllocModuleSet()
6.4.11　引用DLL的裝入函數(shù)——LoadImportDll()
6.4.12　段裝載函數(shù)——LoadModuleSeg()
6.4.13　運(yùn)行已裝載模塊的函數(shù)——RunNewMOdule()
6.4.14　模塊初始化函數(shù)——InitModule()
6.4.15　庫(kù)模塊的初始化函數(shù)——InitDllModule()
6.4.16　應(yīng)用程序模塊的初始化函數(shù)——InitAppModule()
6.4.17　任務(wù)啟動(dòng)函數(shù)——StartNewTask()
6.5　段的裝載
6.5.1　段裝載函數(shù)——LoadSegment()
6.5.2　內(nèi)存分配函數(shù)——FarMyAlloc()
6.5.3　段數(shù)據(jù)復(fù)制函數(shù)——CopySegToDesc()
6.5.4　重復(fù)段創(chuàng)建函數(shù)——CreateIteratedSeg()
6.5.5　前序代碼修改函數(shù)——PatchCodeHandle()
6.6　被裝載模塊的重定位
6.6.1　System.drv中段選擇符的重定位
6.6.2　Keyboard.drv中函數(shù)指針（段：偏移）的重定位
6.6.3　System.drv中函數(shù)指針（段：偏移）的重定位
6.6.4　System.drv中常量函數(shù)的重定位
6.7　緩存文件名柄對(duì)照表
6.8　模塊的卸載過(guò)程
6.8.1　模塊刪除函數(shù)——DeleteModule()
6.9　自裝載Windows的應(yīng)用程序
6.9.1　為什么要引入自裝載問(wèn)題
6.9.2　如何創(chuàng)建一個(gè)自裝載程序
6.9.3　裝載函數(shù)
6.9.4　段重載函數(shù)——LoadAppSeg()
6.9.5　硬件復(fù)位函數(shù)——EXITPROC()
6.9.6　內(nèi)存分配函數(shù)——MyAlloc()
6.9.7　所有者設(shè)置函數(shù)——Set()wner()
6.9.8　入口點(diǎn)獲取函數(shù)——EntryAddrProc()
第７章　Windows任務(wù)的啟動(dòng)和關(guān)閉
7.1　Windows任務(wù)的啟動(dòng)代碼
7.2　Windows中任務(wù)的啟動(dòng)
7.2.1　任務(wù)初始化函數(shù)I——InitTask()
7.2.2　任務(wù)啟動(dòng)函數(shù)II——WaitEvent()
7.2.3　任務(wù)啟動(dòng)函數(shù)III——InitApp()
7.2.4　TSR裝載程序——LoadTSRApp()
7.3　任務(wù)的入口函數(shù)——WinMain()
7.4　Windows中任務(wù)的終止
7.4.1　任務(wù)終止函數(shù)——ExitTask()
第８章　Windows動(dòng)態(tài)鏈接機(jī)制
8.1　動(dòng)態(tài)鏈接機(jī)制
8.1.1　動(dòng)態(tài)鏈接的概述
8.1.2　動(dòng)態(tài)鏈接庫(kù)與應(yīng)用程序的比較
8.1.3　動(dòng)態(tài)鏈接與靜態(tài)鏈接的比較
8.1.4　動(dòng)態(tài)鏈接庫(kù)的實(shí)例剖析
8.2　動(dòng)態(tài)鏈接庫(kù)的啟動(dòng)代碼
8.3　動(dòng)態(tài)鏈接庫(kù)函數(shù)
8.3.1　庫(kù)裝載和卸載函數(shù)
8.3.2　庫(kù)的初始化函數(shù)
8.3.3　庫(kù)中引出函數(shù)入口點(diǎn)的獲取函數(shù)
8.3.4　庫(kù)清理函數(shù)WEP()
8.4　動(dòng)態(tài)鏈接庫(kù)引用次數(shù)的設(shè)置
8.4.1　IncExeUsage()
8.4.2　DecExeUsage()
8.5　Windows的前置代碼(Prologs)和后續(xù)代碼(Epilogs)
8.5.1　概述
8.5.2　應(yīng)用程序的前置代碼和后續(xù)代碼
8.5.3　應(yīng)用程序的靈巧回調(diào)（Smart CallBack)
8.5.4　DLL的前置代碼和后續(xù)代碼
8.5.5　實(shí)模式下的前置代碼
8.5.6　保護(hù)模式下的前置代碼
8.5.7　過(guò)程實(shí)例塊的創(chuàng)建和解放函數(shù)
第９章　Windows任務(wù)調(diào)度機(jī)制
9.1　多任務(wù)機(jī)制
9.2　搶先式調(diào)度策略
9.3　非搶先式調(diào)度策略
9.3.1　事件
9.3.2　優(yōu)先級(jí)
9.3.3　控制權(quán)的釋放
9.4　源程序說(shuō)明
9.4.1　WaitEvent()
9.4.2　Directedyield()
9.4.3　Yield()
9.4.4　UserYIeld()
9.4.5　OldYIeld()
9.4.6　PostEvent()
9.4.7　SetPriority()
9.4.8　Reschedule()
第１０章　Windows消息驅(qū)動(dòng)機(jī)制
10.1　Windows的消息結(jié)構(gòu)
10.2　Windows的任務(wù)隊(duì)列
10.3　Windows的系統(tǒng)隊(duì)列
10.4　消息隊(duì)列的創(chuàng)建
10.4.1　系統(tǒng)隊(duì)列的創(chuàng)建——CreateSystemQueue
10.4.2　任務(wù)隊(duì)列的創(chuàng)建——CreateTaskQueue()
10.4.3　消息隊(duì)列的創(chuàng)建——CreateQueue()
10.5　Windows的消息類型
10.5.1　鍵盤消息——Qs_Key
10.5.2　鼠標(biāo)消息——Qs_Mouse
10.5.3　時(shí)鐘消息——Qs_Timer
10.5.4　屏幕重繪消息——Qs_Paint
10.5.5　傳遞消息——Qs_PostMsg
10.5.6　發(fā)送消息——Qs_SendMsg
10.6　Windows的消息值
10.7　Windows的消息函數(shù)
10.7.1　消息標(biāo)記獲取函數(shù)
10.7.2　消息發(fā)送函數(shù)1
10.7.3　消息應(yīng)答函數(shù)
10.7.4　消息獲取函數(shù)
10.7.5　消息傳遞函數(shù)
10.7.6　消息發(fā)送函數(shù)2
附錄　DPMI功能調(diào)用
參考文獻(xiàn)