Windows內(nèi)核安全編程從入門(mén)到實(shí)踐

第一部分 基礎(chǔ)篇第1章 前置要求與環(huán)境搭建
1.1 驅(qū)動(dòng)編程的語(yǔ)言
1.2 開(kāi)發(fā)環(huán)境搭建
1.2.1 Visual Studio 2005/2008的安裝與配置
1.2.2 WDK的安裝與配置
1.2.3 VisualDDK的安裝與配置
1.3 常用工具介紹第2章 內(nèi)核編程基礎(chǔ)知識(shí)
2.1 Windows主要系統(tǒng)組件
2.1.1 對(duì)象管理器
2.1.2 內(nèi)存管理器
2.1.3 進(jìn)程和線程管理器
2.1.4 I/O管理器
2.1.5 PnP管理器
2.1.6 電源管理器
2.1.7 配置管理器
2.1.8 安全引用監(jiān)視器
2.2 常見(jiàn)名詞解釋
2.2.1 內(nèi)核名詞
2.2.2 文件名詞
2.2.3 網(wǎng)絡(luò)名詞
2.3 常見(jiàn)內(nèi)核數(shù)據(jù)結(jié)構(gòu)
2.3.1 驅(qū)動(dòng)框架常見(jiàn)數(shù)據(jù)結(jié)構(gòu)
2.3.2 進(jìn)程與線程數(shù)據(jù)結(jié)構(gòu)
2.3.3 存儲(chǔ)系統(tǒng)數(shù)據(jù)結(jié)構(gòu)
2.3.4 網(wǎng)絡(luò)數(shù)據(jù)結(jié)構(gòu)
2.3.5 其他一些常見(jiàn)的數(shù)據(jù)結(jié)構(gòu)第3章 基本編程方法
3.1 簡(jiǎn)單的NT式驅(qū)動(dòng)模型
3.1.1 驅(qū)動(dòng)模型的選擇
3.1.2 NT式驅(qū)動(dòng)程序基本結(jié)構(gòu)
3.1.3 編譯驅(qū)動(dòng)程序
3.1.4 加載驅(qū)動(dòng)及查看輸出信息
3.2 應(yīng)用層與內(nèi)核的通信方法
3.2.1 訪問(wèn)數(shù)據(jù)的I/O方式
3.2.2 讀寫(xiě)驅(qū)動(dòng)程序
3.2.3 發(fā)送I/O控制碼
3.2.4 內(nèi)存共享
3.3 同步技術(shù)
3.3.1 事件對(duì)象
3.3.2 信號(hào)燈對(duì)象
3.3.3 互斥體對(duì)象
3.3.4 定時(shí)器對(duì)象
3.3.5 自旋鎖
3.3.6 回調(diào)對(duì)象
3.3.7 原子操作
3.4 IRP處理
3.4.1 簡(jiǎn)單的IRP流動(dòng)圖
3.4.2 IRP的創(chuàng)建
3.4.3 IRP的發(fā)送
3.4.4 為IRP設(shè)置完成函數(shù)
3.4.5 IRP的完成
3.4.6 多種典型的 IRP處理示例
3.5 字符串操作
3.5.1 STRING、ANSI_STRING和UNICODE_STRING
3.5.2 初始化和銷(xiāo)毀
3.5.3 復(fù)制和添加
3.5.4 比較
3.5.5 轉(zhuǎn)換
3.6 內(nèi)存管理
3.6.1 分配系統(tǒng)空間內(nèi)存
3.6.2 運(yùn)行時(shí)庫(kù)管理函數(shù)
3.6.3 使用內(nèi)核棧
3.6.4 使用Lookaside快速鏈表
3.6.5 訪問(wèn)用戶空間內(nèi)存
3.6.6 內(nèi)存區(qū)對(duì)象和視圖
3.6.7 MDL的使用
3.7 注冊(cè)表編程
3.7.1 注冊(cè)表對(duì)象管理函數(shù)
3.7.2 注冊(cè)表運(yùn)行時(shí)庫(kù)函數(shù)
3.7.3 注冊(cè)表調(diào)用過(guò)濾
3.8 文件編程
3.8.1 打開(kāi)文件句柄
3.8.2 執(zhí)行相關(guān)文件操作
3.9 其他
3.9.1 本地系統(tǒng)服務(wù)函數(shù)的Nt和Zw版本
3.9.2 NTSTATUS返回值
3.9.3 雙向鏈表的使用
3.9.4 異常處理第二部分 提升篇第4章 進(jìn)程
4.1 進(jìn)程監(jiān)控實(shí)現(xiàn)原理
4.2 Windows 7系統(tǒng)下的進(jìn)程
監(jiān)控軟件實(shí)例
4.2.1 內(nèi)核模塊程序?qū)崿F(xiàn)
4.2.2 用戶模式程序?qū)崿F(xiàn)
4.3 安裝與使用第5章 磁盤(pán)
5.1 存儲(chǔ)驅(qū)動(dòng)體系結(jié)構(gòu)
5.2 設(shè)備樹(shù)示例
5.3 diskperf磁盤(pán)過(guò)濾驅(qū)動(dòng)
5.3.1 diskperf介紹
5.3.2 diskperf的過(guò)濾框架
5.3.3 diskperf的PnP支持
5.3.4 diskperf的硬盤(pán)訪問(wèn)監(jiān)控和性能數(shù)據(jù)捕獲
5.3.5 diskperf的電源支持
5.3.6 diskperf的安裝與測(cè)試第6章 鍵盤(pán)
6.1 原理跟蹤
6.1.1 自下而上的過(guò)程
6.1.2 自上而下的過(guò)程
6.2 幾種常見(jiàn)的鍵盤(pán)記錄行為
6.2.1 應(yīng)用層的消息鉤子
6.2.2 鍵盤(pán)過(guò)濾驅(qū)動(dòng)
6.2.3 鍵盤(pán)類(lèi)驅(qū)動(dòng)的分發(fā)函數(shù)Hook
6.2.4 DKOM技術(shù)
6.2.5 其他方法
6.3 反鍵盤(pán)記錄
6.3.1 實(shí)現(xiàn)原理
6.3.2 反鍵盤(pán)記錄示例第7章 文件
7.1 原理跟蹤
7.1.1 Windows存儲(chǔ)棧
7.1.2 不涉及緩存的數(shù)據(jù)存儲(chǔ)
7.1.3 涉及緩存的數(shù)據(jù)存儲(chǔ)
7.2 簡(jiǎn)單的文件隱藏
7.2.1 文件隱藏的原理
7.2.2 文件隱藏的實(shí)現(xiàn)
7.3 scanner掃描程序
7.3.1 過(guò)濾管理器與微過(guò)濾驅(qū)動(dòng)概念
7.3.2 使用過(guò)濾管理模型的優(yōu)勢(shì)
7.3.3 微過(guò)濾驅(qū)動(dòng)的加載和卸載
7.3.4 用戶模式和內(nèi)核模式的交互
7.3.5 scanner介紹
7.3.6 scanner驅(qū)動(dòng)程序
7.3.7 scanner應(yīng)用層程序
7.3.8 scanner的安裝與使用第8章 網(wǎng)絡(luò)
8.1 原理跟蹤
8.2 NDIS協(xié)議驅(qū)動(dòng)
8.2.1 DriverEntry
8.2.2 綁定
8.2.3 數(shù)據(jù)發(fā)送
8.2.4 數(shù)據(jù)接收
8.2.5 數(shù)據(jù)流動(dòng)總結(jié)
8.3 OPEN_BLOCK的展示
8.3.1 原理知識(shí)
8.3.2 相關(guān)代碼第三部分 輔助篇第9章 安全編碼
9.1 藍(lán)屏的概念
9.2 創(chuàng)建可靠的驅(qū)動(dòng)程序
9.2.1 驗(yàn)證設(shè)備對(duì)象
9.2.2 使用安全字符串
9.2.3 驗(yàn)證對(duì)象句柄
9.2.4 支持多CPU
9.2.5 確認(rèn)驅(qū)動(dòng)狀態(tài)
9.2.6 IRP安全檢查
9.3 使用驅(qū)動(dòng)驗(yàn)證程序
9.3.1 驅(qū)動(dòng)驗(yàn)證程序的測(cè)試選項(xiàng)
9.3.2 使用驅(qū)動(dòng)驗(yàn)證程序第10章 調(diào)試與逆向
10.1 靜態(tài)調(diào)試
10.1.1 靜態(tài)調(diào)試驅(qū)動(dòng)程序
10.1.2 靜態(tài)調(diào)試應(yīng)用程序
10.2 動(dòng)態(tài)調(diào)試
10.2.1 雙機(jī)調(diào)試的基本方法
10.2.2 WinDbg的常用命令
10.2.3 WinDbg的使用技巧
10.3 逆向與調(diào)試相結(jié)合
10.3.1 示例