Windows內核安全編程從入門到實踐

定　價：￥65.00

作　者：	《黑客防線》編輯部組編
出版社：	電子工業(yè)出版社
叢編項：
標　簽：	WINDOWS

購買這本書可以去

ISBN：	9787121160981	出版時間：	2012-04-01	包裝：	平裝
開本：	16開	頁數(shù)：	414	字數(shù)：

內容簡介

　　本書詳細介紹了Windows平臺下的內核安全編程知識。首先簡單介紹了驅動編程的基本方法；然后詳細介紹了Windows各個系統(tǒng)組件的工作原理，如文件系統(tǒng)、網絡系統(tǒng)自上而下的執(zhí)行流程。同時還介紹了各個組件涉及的安全問題，如文件隱藏、鍵盤記錄等，并通過工程項目讓讀者從代碼層級了解這些信息安全問題及解決方法；最后介紹了驅動編程本身的安全問題，如安全編碼的注意事項和脆弱代碼的檢測手段。另外本書還介紹了簡單的調試和逆向技術，幫助解決開發(fā)過程中遇到的技術難題。通過閱讀本書，可以幫助讀者更深層次的了解內核態(tài)下的信息安全知識。本書適合大專院校計算機系的學生、windows程序員、從事信息安全行業(yè)的工程師以及所有對windows內核安全編程感興趣的愛好者使用。

作者簡介

暫缺《Windows內核安全編程從入門到實踐》作者簡介

圖書目錄

第一部分基礎篇第1章前置要求與環(huán)境搭建
1.1 驅動編程的語言
1.2 開發(fā)環(huán)境搭建
1.2.1 Visual Studio 2005/2008的安裝與配置
1.2.2 WDK的安裝與配置
1.2.3 VisualDDK的安裝與配置
1.3 常用工具介紹第2章內核編程基礎知識
2.1 Windows主要系統(tǒng)組件
2.1.1 對象管理器
2.1.2 內存管理器
2.1.3 進程和線程管理器
2.1.4 I/O管理器
2.1.5 PnP管理器
2.1.6 電源管理器
2.1.7 配置管理器
2.1.8 安全引用監(jiān)視器
2.2 常見名詞解釋
2.2.1 內核名詞
2.2.2 文件名詞
2.2.3 網絡名詞
2.3 常見內核數(shù)據(jù)結構
2.3.1 驅動框架常見數(shù)據(jù)結構
2.3.2 進程與線程數(shù)據(jù)結構
2.3.3 存儲系統(tǒng)數(shù)據(jù)結構
2.3.4 網絡數(shù)據(jù)結構
2.3.5 其他一些常見的數(shù)據(jù)結構第3章基本編程方法
3.1 簡單的NT式驅動模型
3.1.1 驅動模型的選擇
3.1.2 NT式驅動程序基本結構
3.1.3 編譯驅動程序
3.1.4 加載驅動及查看輸出信息
3.2 應用層與內核的通信方法
3.2.1 訪問數(shù)據(jù)的I/O方式
3.2.2 讀寫驅動程序
3.2.3 發(fā)送I/O控制碼
3.2.4 內存共享
3.3 同步技術
3.3.1 事件對象
3.3.2 信號燈對象
3.3.3 互斥體對象
3.3.4 定時器對象
3.3.5 自旋鎖
3.3.6 回調對象
3.3.7 原子操作
3.4 IRP處理
3.4.1 簡單的IRP流動圖
3.4.2 IRP的創(chuàng)建
3.4.3 IRP的發(fā)送
3.4.4 為IRP設置完成函數(shù)
3.4.5 IRP的完成
3.4.6 多種典型的 IRP處理示例
3.5 字符串操作
3.5.1 STRING、ANSI_STRING和UNICODE_STRING
3.5.2 初始化和銷毀
3.5.3 復制和添加
3.5.4 比較
3.5.5 轉換
3.6 內存管理
3.6.1 分配系統(tǒng)空間內存
3.6.2 運行時庫管理函數(shù)
3.6.3 使用內核棧
3.6.4 使用Lookaside快速鏈表
3.6.5 訪問用戶空間內存
3.6.6 內存區(qū)對象和視圖
3.6.7 MDL的使用
3.7 注冊表編程
3.7.1 注冊表對象管理函數(shù)
3.7.2 注冊表運行時庫函數(shù)
3.7.3 注冊表調用過濾
3.8 文件編程
3.8.1 打開文件句柄
3.8.2 執(zhí)行相關文件操作
3.9 其他
3.9.1 本地系統(tǒng)服務函數(shù)的Nt和Zw版本
3.9.2 NTSTATUS返回值
3.9.3 雙向鏈表的使用
3.9.4 異常處理第二部分提升篇第4章進程
4.1 進程監(jiān)控實現(xiàn)原理
4.2 Windows 7系統(tǒng)下的進程
監(jiān)控軟件實例
4.2.1 內核模塊程序實現(xiàn)
4.2.2 用戶模式程序實現(xiàn)
4.3 安裝與使用第5章磁盤
5.1 存儲驅動體系結構
5.2 設備樹示例
5.3 diskperf磁盤過濾驅動
5.3.1 diskperf介紹
5.3.2 diskperf的過濾框架
5.3.3 diskperf的PnP支持
5.3.4 diskperf的硬盤訪問監(jiān)控和性能數(shù)據(jù)捕獲
5.3.5 diskperf的電源支持
5.3.6 diskperf的安裝與測試第6章鍵盤
6.1 原理跟蹤
6.1.1 自下而上的過程
6.1.2 自上而下的過程
6.2 幾種常見的鍵盤記錄行為
6.2.1 應用層的消息鉤子
6.2.2 鍵盤過濾驅動
6.2.3 鍵盤類驅動的分發(fā)函數(shù)Hook
6.2.4 DKOM技術
6.2.5 其他方法
6.3 反鍵盤記錄
6.3.1 實現(xiàn)原理
6.3.2 反鍵盤記錄示例第7章文件
7.1 原理跟蹤
7.1.1 Windows存儲棧
7.1.2 不涉及緩存的數(shù)據(jù)存儲
7.1.3 涉及緩存的數(shù)據(jù)存儲
7.2 簡單的文件隱藏
7.2.1 文件隱藏的原理
7.2.2 文件隱藏的實現(xiàn)
7.3 scanner掃描程序
7.3.1 過濾管理器與微過濾驅動概念
7.3.2 使用過濾管理模型的優(yōu)勢
7.3.3 微過濾驅動的加載和卸載
7.3.4 用戶模式和內核模式的交互
7.3.5 scanner介紹
7.3.6 scanner驅動程序
7.3.7 scanner應用層程序
7.3.8 scanner的安裝與使用第8章網絡
8.1 原理跟蹤
8.2 NDIS協(xié)議驅動
8.2.1 DriverEntry
8.2.2 綁定
8.2.3 數(shù)據(jù)發(fā)送
8.2.4 數(shù)據(jù)接收
8.2.5 數(shù)據(jù)流動總結
8.3 OPEN_BLOCK的展示
8.3.1 原理知識
8.3.2 相關代碼第三部分輔助篇第9章安全編碼
9.1 藍屏的概念
9.2 創(chuàng)建可靠的驅動程序
9.2.1 驗證設備對象
9.2.2 使用安全字符串
9.2.3 驗證對象句柄
9.2.4 支持多CPU
9.2.5 確認驅動狀態(tài)
9.2.6 IRP安全檢查
9.3 使用驅動驗證程序
9.3.1 驅動驗證程序的測試選項
9.3.2 使用驅動驗證程序第10章調試與逆向
10.1 靜態(tài)調試
10.1.1 靜態(tài)調試驅動程序
10.1.2 靜態(tài)調試應用程序
10.2 動態(tài)調試
10.2.1 雙機調試的基本方法
10.2.2 WinDbg的常用命令
10.2.3 WinDbg的使用技巧
10.3 逆向與調試相結合
10.3.1 示例