深入解析Windows操作系統(tǒng)：Microsoft Windows Server 2003/Windows XP/Windows 2000技術(shù)內(nèi)幕（第4版）

第1章 概念和工具 1
1.1 Windows操作系統(tǒng)的版本 1
1.2 基礎(chǔ)概念和術(shù)語 3
Windows API 3
服務(wù)、函數(shù)和例程 5
進程、線程和作業(yè) 6
虛擬內(nèi)存 14
內(nèi)核模式和用戶模式 16
終端服務(wù)及多個會話 21
對象和句柄 22
安全性 23
注冊表 24
Unicode 25
1.3 挖掘Windows內(nèi)部機理 25
性能工具 27
Windows支持工具箱 27
Windows資源工具箱 27
內(nèi)核調(diào)試 28
Platform SDK 33
DDK（設(shè)備驅(qū)動程序開發(fā)工具） 34
Sysinternals工具 34
1.4 本章總結(jié) 34
第2章 系統(tǒng)結(jié)構(gòu) 35
2.1 需求和設(shè)計目標 35
2.2 操作系統(tǒng)模型 36
2.3 總體結(jié)構(gòu) 37
可移植性 40
對稱多處理 41
可伸縮性 46
客戶和服務(wù)器版本之間的差異 47
檢查版本 49
2.4 關(guān)鍵的系統(tǒng)組件 51
環(huán)境子系統(tǒng)和子系統(tǒng)DLL 53
硬件抽象層（HAL） 67
設(shè)備驅(qū)動程序 69
系統(tǒng)進程 75
2.5 本章總結(jié) 84
第3章 系統(tǒng)機制 85
3.1 陷阱分發(fā) 85
中斷分發(fā) 87
異常分發(fā) 109
系統(tǒng)服務(wù)分發(fā) 119
3.2 對象管理器 124
執(zhí)行體對象 126
對象結(jié)構(gòu) 128
3.3 同步 149
高IRQL的同步 151
低IRQL的同步 155
3.4 系統(tǒng)輔助線程 166
3.5 Windows全局標志 168
3.6 本地過程調(diào)用（LPC） 171
3.7 內(nèi)核事件追蹤 175
3.8 Wow64 178
Wow64進程地址空間布局結(jié)構(gòu) 179
系統(tǒng)調(diào)用 179
異常分發(fā) 179
用戶回調(diào) 179
文件系統(tǒng)重定向 180
注冊表的重定向和反射 180
I/O控制請求 181
16位安裝器應(yīng)用程序 182
打印 182
一些限制 182
3.9 本章總結(jié) 182
第4章 管理機制 183
4.1 注冊表 183
查看和修改注冊表 183
注冊表用法 184
注冊表數(shù)據(jù)類型 185
注冊表邏輯結(jié)構(gòu) 186
注冊表問題的診斷 192
注冊表的內(nèi)部機理 197
4.2 服務(wù) 211
服務(wù)應(yīng)用 212
服務(wù)賬戶 217
服務(wù)控制管理器 223
服務(wù)啟動 225
啟動錯誤 229
接受當前引導(dǎo)和“最后已知的好控制集” 230
服務(wù)失敗 231
服務(wù)停機 232
共享的服務(wù)進程 233
服務(wù)控制程序 236
4.3 Windows管理規(guī)范 237
WMI體系結(jié)構(gòu) 237
提供者 239
公共信息模型（CIM）和可管理對象的格式語言 240
WMI名字空間 243
類關(guān)聯(lián) 244
WMI實現(xiàn) 247
WMI安全性 248
4.4 本章總結(jié) 249
第5章 啟動和停機 251
5.1 引導(dǎo)過程 251
x86和x64引導(dǎo)準備 251
x86/x64引導(dǎo)扇區(qū)和Ntldr 255
IA64引導(dǎo)過程 264
初始化內(nèi)核和執(zhí)行體子系統(tǒng) 266
Smss、Csrss和Winlogon 269
自動啟動的映像文件 273
5.2 引導(dǎo)和啟動問題的故障檢查 274
最后已知的好配置 274
安全模式 274
安全模式下的驅(qū)動程序加載 275
恢復(fù)控制臺（Recovery Console） 279
解決常見的引導(dǎo)問題 281
5.3 停機 286
5.4 本章總結(jié) 288
第6章 進程、線程和作業(yè) 289
6.1 進程的內(nèi)部機理 289
數(shù)據(jù)結(jié)構(gòu) 289
內(nèi)核變量 297
性能計數(shù)器 297
有關(guān)的函數(shù) 298
6.2 CreateProcess的流程 300
階段1：打開將要被執(zhí)行的映像 302
階段2：創(chuàng)建Windows執(zhí)行體進程對象 304
階段3：創(chuàng)建初始線程，以及它的棧和執(zhí)行環(huán)境 308
階段4：將新進程通知Windows子系統(tǒng) 309
階段5：啟動初始線程的執(zhí)行 310
階段6：在新進程環(huán)境下執(zhí)行進程初始化 310
6.3 線程的內(nèi)部機理 313
數(shù)據(jù)結(jié)構(gòu) 313
內(nèi)核變量 320
性能計數(shù)器 321
有關(guān)的函數(shù) 322
一個線程的產(chǎn)生 322
6.4 檢查線程活動 323
6.5 線程調(diào)度 325
Windows調(diào)度的概述 326
優(yōu)先級別 327
Windows調(diào)度API 330
有關(guān)的工具 331
實時優(yōu)先級 333
線程狀態(tài) 334
分發(fā)器數(shù)據(jù)庫 338
時限 340
調(diào)度情形 345
環(huán)境切換 347
空閑（Idle）線程 348
優(yōu)先級提升 348
多處理器系統(tǒng) 357
多處理器的線程調(diào)度算法 366
6.6 作業(yè)對象 369
6.7 本章總結(jié) 374
第7章 內(nèi)存管理 375
7.1 內(nèi)存管理器簡介 375
內(nèi)存管理器組件 376
內(nèi)部同步 377
配置內(nèi)存管理器 378
檢查內(nèi)存的使用情況 378
7.2 內(nèi)存管理器提供的服務(wù) 382
大頁面和小頁面 382
保留的和提交的頁面 384
鎖住內(nèi)存 385
分配粒度 385
共享內(nèi)存和映射文件 386
保護內(nèi)存 388
“不可執(zhí)行”頁面保護 390
寫時復(fù)制 392
堆管理器 394
地址窗口擴展 399
7.3 系統(tǒng)內(nèi)存池 401
配置內(nèi)存池的大小 401
監(jiān)視內(nèi)存池的使用 404
預(yù)讀列表（Look-Aside List） 408
驅(qū)動程序檢驗器（Driver Verifier） 409
7.4 虛擬地址空間的布局結(jié)構(gòu) 413
x86用戶地址空間的布局結(jié)構(gòu) 415
x86系統(tǒng)地址空間的布局結(jié)構(gòu) 417
x86會話空間 418
系統(tǒng)頁表項（PTE，Page Table Entry） 421
64位地址空間布局結(jié)構(gòu) 422
7.5 地址轉(zhuǎn)譯 425
x86虛擬地址轉(zhuǎn)譯 425
地址轉(zhuǎn)譯快查緩沖區(qū) 434
物理地址擴展（PAE） 435
IA-64虛擬地址轉(zhuǎn)譯 437
x64虛擬地址轉(zhuǎn)譯 438
7.6 頁面錯誤處理 439
無效PTE 440
原型PTE 441
頁面換入I/O 443
沖突的頁面錯誤 444
頁面文件 444
7.7 虛擬地址描述符 448
7.8 內(nèi)存區(qū)對象 450
7.9 工作集 457
按需換頁 458
7.10 邏輯預(yù)取器 458
放置策略 462
工作集管理 463
平衡集管理器和交換器 466
系統(tǒng)工作集 467
7.11 頁面幀編號數(shù)據(jù)庫 469
頁面列表的動態(tài)變化 472
已修改頁面寫出器 475
PFN數(shù)據(jù)結(jié)構(gòu) 476
低內(nèi)存通知和高內(nèi)存通知 479
7.12 本章總結(jié) 483
第8章 安全性 485
8.1 安全系統(tǒng)組件 488
8.2 保護對象 492
訪問檢查 493
安全描述符和訪問控制 506
8.3 賬戶權(quán)限和特權(quán) 516
賬戶權(quán)限 517
特權(quán) 518
超級特權(quán) 523
8.4 安全審計 524
8.5 登錄（Logon） 526
Winlogon初始化 528
用戶登錄步驟 529
8.6 軟件限制策略 533
8.7 本章總結(jié) 535
第9章 I/O系統(tǒng) 537
9.1 I/O系統(tǒng)組件 537
I/O管理器 539
典型的I/O處理過程 540
9.2 設(shè)備驅(qū)動程序 541
設(shè)備驅(qū)動程序的類型 541
驅(qū)動程序的結(jié)構(gòu) 548
驅(qū)動程序?qū)ο蠛驮O(shè)備對象 550
打開設(shè)備 555
9.3 I/O處理 561
I/O類型 561
映射文件I/O和文件緩存 564
I/O請求包 564
針對單層驅(qū)動程序的I/O請求 569
針對分層的驅(qū)動程序的I/O請求 577
I/O完成端口 585
驅(qū)動程序檢驗器（Driver Verifier） 589
9.4 即插即用（PnP）管理器 590
即插即用支持的級別 591
驅(qū)動程序?qū)τ诩床寮从玫闹С?592
驅(qū)動程序加載、初始化和安裝 594
驅(qū)動程序安裝 603
9.5 電源管理器 607
電源管理器的操作 609
驅(qū)動程序的電源操作 610
驅(qū)動程序?qū)τ谠O(shè)備電源的控制 613
9.6 本章總結(jié) 613
第10章 存儲管理 615
10.1 有關(guān)存儲的術(shù)語 615
10.2 磁盤驅(qū)動程序 616
Ntldr 616
磁盤類、端口和小端口驅(qū)動程序 617
磁盤設(shè)備對象 620
分區(qū)管理器 622
10.3 卷的管理 622
基本磁盤 624
動態(tài)磁盤 626
多分區(qū)卷的管理 632
卷名字空間 638
卷的I/O操作 646
虛擬磁盤服務(wù) 648
卷影像（shadow）拷貝服務(wù) 649
10.4 本章總結(jié) 654
第11章 緩存管理器 655
11.1 緩存管理器的關(guān)鍵特性 655
單個中心化的系統(tǒng)緩存 656
內(nèi)存管理器 656
緩存一致性 656
虛擬塊緩存 658
流式緩存機制 658
對可恢復(fù)文件系統(tǒng)的支持 658
11.2 緩存的虛擬內(nèi)存管理 660
11.3 緩存的大小 662
LargeSystemCache 662
緩存的虛擬大小 663
緩存的工作集大小 665
緩存的物理大小 667
11.4 緩存的數(shù)據(jù)結(jié)構(gòu) 668
系統(tǒng)范圍的緩存數(shù)據(jù)結(jié)構(gòu) 669
針對每個文件的緩存數(shù)據(jù)結(jié)構(gòu) 670
11.5 文件系統(tǒng)接口 674
從緩存中來回拷貝數(shù)據(jù) 676
通過映射和鎖定接口進行緩存 677
通過直接內(nèi)存訪問接口進行緩存 678
11.6 快速I/O 679
11.7 預(yù)讀（Read Ahead）和滯后寫（Write Behind） 682
智能預(yù)讀 682
回寫緩存（Write-Back Caching）和延遲寫（Lazy Writing） 683
寫節(jié)流（Write Throttling） 686
系統(tǒng)線程 687
11.8 本章總結(jié) 688
第12章 文件系統(tǒng) 689
12.1 Windows文件系統(tǒng)格式 690
CDFS 690
UDF 691
FAT12、FAT16和FAT32 691
NTFS 694
12.2 文件系統(tǒng)驅(qū)動程序總體結(jié)構(gòu) 694
本地FSD 695
遠程FSD 696
文件系統(tǒng)操作 700
文件系統(tǒng)過濾型驅(qū)動程序 705
12.3 診斷文件系統(tǒng)的問題 711
Filemon的基本和高級模式 711
Filemon診斷技巧 712
12.4 NTFS設(shè)計目標和特性 717
高端（High-End）文件系統(tǒng)的需求 717
NTFS的高級特性 719
12.5 NTFS文件系統(tǒng)驅(qū)動程序 729
12.6 NTFS在磁盤上的結(jié)構(gòu) 732
卷（volume） 732
簇（cluster） 732
主文件表（MFT） 733
文件引用號 739
文件紀錄 740
文件名 742
駐留的和非駐留的屬性 744
數(shù)據(jù)壓縮和稀疏文件 747
變化日志文件 752
索引 753
對象ID 754
配額跟蹤 755
統(tǒng)一的安全性 756
重解析點 758
12.7 NTFS的恢復(fù)支持 758
文件系統(tǒng)設(shè)計的演變 759
日志記錄 761
恢復(fù) 767
NTFS的壞簇恢復(fù) 771
12.8 加密文件系統(tǒng)（EFS）安全性 775
第一次加密一個文件 778
解密過程 783
加密文件的備份 784
12.9 本章總結(jié) 785
第13章 網(wǎng)絡(luò) 787
13.1 Windows的網(wǎng)絡(luò)總體結(jié)構(gòu) 787
OSI參考模型 787
Windows網(wǎng)絡(luò)組件 789
13.2 網(wǎng)絡(luò)API 791
Windows套接字（Windows Sockets） 791
遠過程調(diào)用 798
Web訪問API 803
命名管道和郵件槽 804
NetBIOS 811
NetBIOS的操作 812
其他的網(wǎng)絡(luò)API 813
13.3 多重定向器支持 815
多提供者轉(zhuǎn)發(fā)器 816
多UNC提供者 818
13.4 名稱解析 820
域名系統(tǒng) 820
Windows Internet名稱服務(wù) 820
13.5 協(xié)議驅(qū)動程序 821
TCP/IP的擴展 824
13.6 NDIS驅(qū)動程序 828
NDIS小端口的變化形式 832
面向連接的NDIS 832
外接NDIS（Remote NDIS） 835
QOS 836
13.7 綁定 838
13.8 分層的網(wǎng)絡(luò)服務(wù) 839
遠程訪問（Remote Access） 839
活動目錄 840
網(wǎng)絡(luò)負載平衡 841
文件復(fù)制服務(wù) 843
分布式文件系統(tǒng) 843
13.9 本章總結(jié) 844
第14章 崩潰轉(zhuǎn)儲分析 845
14.1 Windows為什么會崩潰 845
14.2 藍屏 846
14.3 崩潰轉(zhuǎn)儲文件 849
崩潰轉(zhuǎn)儲的生成 852
14.4 Windows錯誤報告 853
14.5 在線崩潰分析 854
14.6 基本的崩潰轉(zhuǎn)儲分析 855
Notmyfault 855
基本的崩潰轉(zhuǎn)儲分析 856
詳細的分析 858
14.7 使用崩潰診斷工具 860
緩沖區(qū)溢出和特殊內(nèi)存池 861
代碼改寫和系統(tǒng)代碼寫保護 863
14.8 高級的崩潰轉(zhuǎn)儲分析 864
棧破壞 865
掛起的系統(tǒng)或無響應(yīng)的系統(tǒng) 866
當沒有崩潰轉(zhuǎn)儲時 869
術(shù)語表 871
術(shù)語對照表 895
索引 901