精华内容
下载资源
问答
  • windows internals 的中文译本 windows内核原理与实现
    windows internals 的中文译本      windows内核原理与实现 
    
    展开全文
  • 最近在学习Windows底层原理,准备写个系列文章分享给大家,Michael Li(微软实习期间的Mentor,为人超好)在知乎回答过一些关于学习[Windows原理的书籍推荐](微软官方有没有公布过Windows的工作细节?),大家可以拜读...

    v2-15c1cd6aeebe5c4d0a379e62b1c242de_1440w.jpg?source=172ae18b

    最近在学习Windows底层原理,准备写个系列文章分享给大家,Michael Li(微软实习期间的Mentor,为人超好)在知乎回答过一些关于学习[Windows原理的书籍推荐](微软官方有没有公布过Windows的工作细节?),大家可以拜读其中一本来入门。我是先从《Windows核心编程》开始了解一些Windows底层管理与硬件交互的原理,然后买了一套冬瓜哥撰写的《大话计算机》系列丛书,学有余力的童鞋强烈推荐你去看看,这套书对计算机整体的运作原理讲解的很系统,涉及了计算机组成原理、网络原理、编译原理、操作系统、硬件等,可以作为不错的入门教材。

    [Windows核心编程(第5版)电子书及配套代码](ckjbug/Windows-Core-Programming)

    学习前需要理解一些系统专业词汇的概念,比如:系统资源、内存管理、句柄、内核态/用户态、Hook、事件、消息等。不然后续对Windows底层原理的理解会有些误差和盲区,例如很容易将系统资源和CPU资源(CPU使用率)相混淆。

    v2-12d09b8c04969372e59421cda42aa295_b.jpg

    v2-f0b2d662174a3d933d8e811221570fc8_b.jpg

    有哪些内核对象:

    令牌对象 Token
    事件对象 Event
    文件对象 File
    文件映射对象 Mapping File
    线程对象 Thread
    时钟对象 Timer
    线程池对象 ThreadPool
    I/O完成端对象 Completion port
    工作对象 Job
    邮槽对象 Mailslot
    互斥对象 Mutex
    管道对象 Pipe
    进程对象 Process
    信号灯对象 Semaphore
    ...

    内核对象的结构:

    公用部分(安全描述符、计数器) + 个性部分

    句柄、Windows数据类型:

    WORD:16位无符号整型数据
    DWORD:32位无符号整型数据(DWORD32)
    DWORD64:64位无符号整型数据
    INT:32位有符号整型数据类型
    INT_PTR:指向INT数据类型的指针类型
    INT32:32位符号整型
    INT64:64位符号整型
    UINT:无符号INT
    LONG:32位符号整型(LONG32)
    ULONG:无符号LONG
    LONGLONG:64位符号整型(LONG64)
    SHORT:无符号短整型(16位)
    LPARAM:消息的L参数
    WPARAM:消息的W参数
    HANDLE:对象的句柄,最基本的句柄类型
    HICON:图标的句柄
    HINSTANCE:程序实例的句柄
    HKEY:注册表键的句柄
    HMODULE:模块的句柄
    HWND:窗口的句柄
    LPSTR:字符指针,也就是字符串变量
    LPCSTR:字符串常量
    LPCTSTR:根据环境配置,如果定义了UNICODE宏,则是LPCWSTR类型,否则则为LPCSTR类型
    LPCWSTR:UNICODE字符串常量
    LPDWORD:指向DWORD类型数据的指针
    CHAR:8比特字节
    TCHAR:如果定义了UNICODE,则为WCHAR,否则为CHAR
    UCHAR:无符号CHAR
    WCHAR:16位Unicode字符
    BOOL:布尔型变量
    BYTE:字节类型(8位)
    CONST:常量
    FLOAT:浮点数据类型
    SIZE_T:表示内存大小,以字节为单位,其最大值是CPU最大寻址范围
    VOID:无类型,相当于标准C语言中的void
    WINAPI:Windows API的函数调用方式,常见于SDK头文件中对API函数的声明中,相当于_stdcall(更严格地说,这不是数据类型,而是一种函数调用约定
    BYTE 8位 unsigned char
    CHAR 8位 char
    BOOL 16位 int
    DWORD 32位 unsigned long int
    HANDLE 一般句柄
    HWND 32位 long int
    LONG 32位 long int
    LPCSTR 指向字符串的 const 指针
    LPSTR 指向字符串的指针
    SHORT 16位短整数
    UINT 32位无符号长整数
    WORD 16位无符号短整数
    BITMAP 独立于逻辑设备的位图(DIB)
    LOGBRUSH 逻辑刷
    LOGFONT 逻辑字体
    LOGPEN 逻辑笔
    MSG 窗口消息
    POINT 点
    RECT 矩形
    WNDCLASS 窗口类结构
    hBitmap 为保存DIB图像信息的内存域的句柄
    hBrush 当画图时用于填满设备范围的刷子的句柄
    hCtl 子窗口控件的句柄
    hCursor 鼠标光标句柄
    hDc 设备描述表句柄
    hDlg 文本字体的句柄
    hFont 文本字体的句柄
    hIcon 图标的句柄
    hInstance windows应用程序实例句柄
    hMem 内存块句柄
    hMenu 菜单或弹出式菜单句柄
    hModule 模式的句柄,常用于从一可执行文件获取资源数据
    hPalette 颜色调色板
    hPen 当在设备上画图时用于指明线型的笔的句柄
    hRgn 在窗口上剪贴一块区域的句柄
    hTask 独立于已执行的任务的句柄
    hWnd 窗口句柄
    展开全文
  • 从汇编语言到windows内核编程,从汇编语言到windows内核编程的细致介绍,内核级编程优秀参考书籍
  • 内容不多说,windows内核编程经典书籍,天书夜读-从汇编语言到Windows内核编程
  • Windows内核编程的经典编程书籍,通俗易懂,适合初学者 和有一定基础者,绝对好书
  • 寒江独钓:Windows内核安全编程内容简介本书从Windows内核编程出发,全面介绍串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术的密码保护、防毒引擎、文件加密、网络嗅探、...

    寒江独钓:Windows内核安全编程

    f094d595852f12fbeee99b594057fea6.png

    内容简介

    本书从Windows内核编程出发,全面介绍串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术的密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙的具体实现。

    对于驱动编程模型的选择,本书同时兼顾WDM与WDF。本书适合大专院校计算机系的学生、计算机编程爱好者、普通Windows程序员、Windows内核程序员、信息安全行业的程序员使用。阅读本书,需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。

    目录内容

    第1章 内核上机指导 1

    Windows内核编程的动手有点麻烦,并不是仅仅安装一个独立的软件(比如VC)之后就可以安然地开始编写代码,然后运行了。需要下载开发包、配置开发环境、准备调试工具,可能还需要一些小工具协同工作。这一步拦住了不少的初学者。本章以详细图文攻略,来引导读者完成这一麻烦的步骤。

    1.1 下载和使用WDK 2

    1.1.1 下载安装WDK 2

    1.1.2 编写第一个C文件 3

    1.1.3 编译一个工程 5

    1.2 安装与运行 6

    1.2.1 下载一个安装工具 6

    1.2.2 运行与查看输出信息 7

    1.2.3 在虚拟机中运行 9

    1.3 调试内核模块 9

    1.3.1 下载和安装WinDbg 9

    1.3.2 设置Windows XP调试执行 10

    1.3.3 设置Vista调试执行 11

    1.3.4 设置VMWare的管道虚拟串口 11

    1.3.5 设置Windows内核符号表 13

    1.3.6 实战调试first 14

    练习题 16

    第2章 内核编程环境及其特殊性 17

    编写过驱动程序的读者可能会很熟悉这一切,但是对只从事过应用程序的读者而言,要理解内核编程环境的特殊性,就很需要一些功夫和悟性了。在应用程序中,多线程的情况已经带来了一定理解的困难;而内核代码呢?几乎无时无刻不运行在多线程之下。它从哪里开始?从哪里结束?它在什么进程内运行?这些问题一言难尽。

    2.1 内核编程的环境 18

    2.1.1 隔离的应用程序 18

    2.1.2 共享的内核空间 19

    2.1.3 无处不在的内核模块 20

    2.2 数据类型 21

    2.2.1 基本数据类型 21

    2.2.2 返回状态 22

    2.2.3 字符串 23

    2.3 重要的数据结构 23

    2.3.1 驱动对象 23

    2.3.2 设备对象 25

    2.3.3 请求 26

    2.4 函数调用 28

    2.4.1 查阅帮助 28

    2.4.2 帮助中有的几类函数 30

    2.4.3 帮助中没有的函数 32

    2.5 Windows的驱动开发模型 32

    2.6 WDK编程中的特殊点 33

    2.6.1 内核编程的主要调用源 33

    2.6.2 函数的多线程安全性 34

    2.6.3 代码的中断级 36

    2.6.4 WDK中出现的特殊代码 37

    练习题 38

    第3章 串口的过滤 40

    在安全软件的开发中,串口驱动的应用并不常见。但是本书以串口驱动作为第一个介绍的实例。为何?仅仅是因为串口简单。从简单的例子入手,可以为读者带来稍许轻松的感受。

    3.1 过滤的概念 41

    3.1.1 设备绑定的内核API之一 41

    3.1.2 设备绑定的内核API之二 43

    3.1.3 生成过滤设备并绑定 43

    3.1.4 从名字获得设备对象 45

    3.1.5 绑定所有串口 46

    3.2 获得实际数据 47

    3.2.1 请求的区分 47

    3.2.2 请求的结局 48

    3.2.3 写请求的数据 49

    3.3 完整的代码 50

    3.3.1 完整的分发函数 50

    3.3.2 如何动态卸载 52

    3.3.3 完整的代码 53

    本章的示例代码 53

    练习题 54

    第4章 键盘的过滤 56

    键盘是很重要的输入设备!这是因为我们用键盘录入信息、用键盘输入密码,甚至用键盘编程,也用键盘著书立说。对于黑客来说,使用庞大的计算机资源去破解那些坚不可摧的加密算法,哪如偷偷地记下用户用键盘输入的密钥更加简单呢?本章专注于键盘的保护。

    4.1 技术原理 57

    4.1.1 预备知识 57

    4.1.2 Windows中从击键到内核 58

    4.1.3 键盘硬件原理 60

    4.2 键盘过滤的框架 61

    4.2.1 找到所有的键盘设备 61

    4.2.2 应用设备扩展 64

    4.2.3 键盘过滤模块的DriverEntry 65

    4.2.4 键盘过滤模块的动态卸载 66

    4.3 键盘过滤的请求处理 68

    4.3.1 通常的处理 68

    4.3.2 PNP的处理 69

    4.3.3 读的处理 70

    4.3.4 读完成的处理 71

    4.4 从请求中打印出按键信息 72

    4.4.1 从缓冲区中获得KEYBOARD_INPUT_DATA 72

    4.4.2 从KEYBOARD_INPUT_DATA中得到键 73

    4.4.3 从MakeCode到实际字符 74

    4.5 Hook分发函数 75

    4.5.1 获得类驱动对象 76

    4.5.2 修改类驱动的分发函数指针 77

    4.5.3 类驱动之下的端口驱动 78

    4.5.4 端口驱动和类驱动之间的协作机制 79

    4.5.5 找到关键的回调函数的条件 80

    4.5.6 定义常数和数据结构 80

    4.5.7 打开两种键盘端口驱动寻找设备 81

    4.5.8 搜索在KbdClass类驱动中的地址 83

    4.6 Hook键盘中断反过滤 86

    4.6.1 中断:IRQ和INT 86

    4.6.2 如何修改IDT 87

    4.6.3 替换IDT中的跳转地址 88

    4.6.4 QQ的PS/2反过滤措施 90

    4.7 利用IOAPIC重定位中断处理函数 90

    4.7.1 什么是IOAPIC 90

    4.7.2 如何访问IOAPIC 91

    4.7.3 编程修改IOAPIC重定位表 92

    4.7.4 插入新的中断处理 93

    4.7.5 驱动入口和卸载的实现 95

    4.8 直接用端口操作键盘 96

    4.8.1 读取键盘数据和命令端口 96

    4.8.2 p2cUserFilter的最终实现 97

    本章的示例代码 98

    练习题 99

    第5章 磁盘的虚拟 100

    CPU是计算机的核心,但是它不保存信息。如果它被窃,我们可以简单地购买一个新的。但是如果装满了机密信息的硬盘被窃了,那可就不是买一个新的就能弥补得了的。本章介绍硬盘内核魔术:虚拟硬盘。虚拟硬盘可以不被盗窃者利用吗?良好的设计可以做到这一点。

    5.1 虚拟的磁盘 101

    5.2 一个具体的例子 101

    5.3 入口函数 102

    5.3.1 入口函数的定义 102

    5.3.2 Ramdisk驱动的入口函数 103

    5.4 EvtDriverDeviceAdd函数 104

    5.4.1 EvtDriverDeviceAdd的定义 104

    5.4.2 局部变量的声明 105

    5.4.3 磁盘设备的创建 105

    5.4.4 如何处理发往设备的请求 107

    5.4.5 用户配置的初始化 108

    5.4.6 链接给应用程序 110

    5.4.7 小结 111

    5.5 FAT12/16磁盘卷初始化 111

    5.5.1 磁盘卷结构简介 111

    5.5.2 Ramdisk对磁盘的初始化 113

    5.6 驱动中的请求处理 119

    5.6.1 请求的处理 119

    5.6.2 读/写请求 120

    5.6.3 DeviceIoControl请求 122

    5.7 Ramdisk的编译和安装 124

    5.7.1 编译 124

    5.7.2 安装 125

    5.7.3 对安装的深入探究 125

    练习题 126

    第6章 磁盘过滤 127

    很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题:重启之后,对硬盘的修改都奇迹般地消失了。这是怎么实现的呢?本章告诉您答案。

    6.1 磁盘过滤驱动的概念 128

    6.1.1 设备过滤和类过滤 128

    6.1.2 磁盘设备和磁盘卷设备过滤驱动 128

    6.1.3 注册表和磁盘卷设备过滤驱动 129

    6.2 具有还原功能的磁盘卷过滤驱动 129

    6.2.1 简介 129

    6.2.2 基本思想 130

    6.3 驱动分析 130

    6.3.1 DriverEntry函数 130

    6.3.2 AddDevice函数 132

    6.3.3 PnP请求的处理 136

    6.3.4 Power请求的处理 140

    6.3.5 DeviceIoControl请求的处理 140

    6.3.6 bitmap的作用和分析 144

    6.3.7 boot驱动完成回调函数和稀疏文件 150

    6.3.8 读/写请求的处理 152

    6.3.9 示例代码 160

    6.3.10 练习题 161

    第7章 文件系统的过滤与监控 162

    硬盘是硬盘,而文件系统是文件系统,可是有的人总是把它们当做一回事。其实硬盘很简单,硬盘就是一个很简单的保存信息的盒子;而复杂的是文件系统,它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家,我们当然不能让文件系统脱离我们的控制之外。

    7.1 文件系统的设备对象 163

    7.1.1 控制设备与卷设备 163

    7.1.2 生成自己的一个控制设备 165

    7.2 文件系统的分发函数 166

    7.2.1 普通的分发函数 166

    7.2.2 文件过滤的快速IO分发函数 167

    7.2.3 快速IO分发函数的一个实现 169

    7.2.4 快速IO分发函数逐个简介 170

    7.3 设备的绑定前期工作 172

    7.3.1 动态地选择绑定函数 172

    7.3.2 注册文件系统变动回调 173

    7.3.3 文件系统变动回调的一个实现 175

    7.3.4 文件系统识别器 176

    7.4 文件系统控制设备的绑定 177

    7.4.1 生成文件系统控制设备的过滤设备 177

    7.4.2 绑定文件系统控制设备 178

    7.4.3 利用文件系统控制请求 180

    7.5 文件系统卷设备的绑定 183

    7.5.1 从IRP中获得VPB指针 183

    7.5.2 设置完成函数并等待IRP完成 184

    7.5.3 卷挂载IRP完成后的工作 187

    7.5.4 完成函数的相应实现 190

    7.5.5 绑定卷的实现 191

    7.6 读/写操作的过滤 193

    7.6.1 设置一个读处理函数 193

    7.6.2 设备对象的区分处理 194

    7.6.3 解析读请求中的文件信息 195

    7.6.4 读请求的完成 198

    7.7 其他操作的过滤 202

    7.7.1 文件对象的生存周期 202

    7.7.2 文件的打开与关闭 203

    7.7.3 文件的删除 205

    7.8 路径过滤的实现 206

    7.8.1 取得文件路径的3种情况 206

    7.8.2 打开成功后获取路径 207

    7.8.3 在其他时刻获得文件路径 209

    7.8.4 在打开请求完成之前获得路径名 209

    7.8.5 把短名转换为长名 211

    7.9 把sfilter编译成静态库 212

    7.9.1 如何方便地使用sfilter 212

    7.9.2 初始化回调、卸载回调和绑定回调 213

    7.9.3 绑定与回调 215

    7.9.4 插入请求回调 216

    7.9.5 如何利用sfilter.lib 218

    本章的示例代码 221

    练习题 221

    第8章 文件系统透明加密 223

    如何阻止企业的机密文件被主动泄密,但是又不用关闭网络、禁止U盘等手段重重束缚大家?很多迹象表明,文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统,那么现在,该是我们摩拳擦掌,用它来保护我们的机密信息的时候了。

    8.1 文件透明加密的应用 224

    8.1.1 防止企业信息泄密 224

    8.1.2 文件透明加密防止企业信息泄密 224

    8.1.3 文件透明加密软件的例子 225

    8.2 区分进程 226

    8.2.1 机密进程与普通进程 226

    8.2.2 找到进程名字的位置 227

    8.2.3 得到当前进程的名字 228

    8.3 内存映射与文件缓冲 229

    8.3.1 记事本的内存映射文件 229

    8.3.2 Windows的文件缓冲 230

    8.3.3 文件缓冲:明文还是密文的选择 232

    8.3.4 清除文件缓冲 233

    8.4 加密标识 236

    8.4.1 保存在文件外、文件头还是文件尾 236

    8.4.2 隐藏文件头的大小 237

    8.4.3 隐藏文件头的设置偏移 239

    8.4.4 隐藏文件头的读/写偏移 240

    8.5 文件加密表 241

    8.5.1 何时进行加密操作 241

    8.5.2 文件控制块与文件对象 242

    8.5.3 文件加密表的数据结构与初始化 243

    8.5.4 文件加密表的操作:查询 244

    8.5.5 文件加密表的操作:添加 245

    8.5.6 文件加密表的操作:删除 246

    8.6 文件打开处理 248

    8.6.1 直接发送IRP进行查询与设置操作 248

    8.6.2 直接发送IRP进行读/写操作 250

    8.6.3 文件的非重入打开 252

    8.6.4 文件的打开预处理 255

    8.7 读写加密/解密 260

    8.7.1 在读取时进行解密 260

    8.7.2 分配与释放MDL 261

    8.7.3 写请求加密 262

    8.8 crypt_file的组装 265

    8.8.1 crypt_file的初始化 265

    8.8.2 crypt_file的IRP预处理 266

    8.8.3 crypt_file的IRP后处理 269

    本章的示例代码 272

    练习题 272

    第9章 文件系统微过滤驱动 273

    从来都不原地踏步的微软,早就准备好了下一代的文件系统过滤的框架、文档、代码例子。虽然本书的前两章的范例在Windows 7上都还可以正常运行,但是如果不学习一下最新的接口,读者一定会觉得不自在。但是读者可以放心,在前面学习的基础上,了解新的接口是易如反掌的。

    9.1 文件系统微过滤驱动简介 274

    9.1.1 文件系统微过滤驱动的由来 274

    9.1.2 Minifilter的优点与不足 275

    9.2 Minifilter的编程框架 275

    9.2.1 微文件系统过滤的注册 276

    9.2.2 微过滤器的数据结构 277

    9.2.3 卸载回调函数 280

    9.2.4 预操作回调函数 281

    9.2.5 后操作回调函数 284

    9.2.6 其他回调函数 285

    9.3 Minifilter如何与应用程序通信 288

    9.3.1 建立通信端口的方法 288

    9.3.2 在用户态通过DLL使用通信端口的范例 290

    9.4 Minifilter的安装与加载 292

    9.4.1 安装Minifilter的INF文件 293

    9.4.2 启动安装完成的Minifilter 294

    本章的示例代码 295

    练习题 295

    第10章 网络传输层过滤 296

    笔者常常使用防火墙,它们看上去真的很神奇。如果怀疑自己的机器上有见不得人的进程打开了网络端口盗走机密信息,防火墙将提醒您,虽然防火墙并不知道它是否是一个木马。这是怎么做到的?本章为您揭晓谜底。

    10.1 TDI概要 297

    10.1.1 为何选择TDI 297

    10.1.2 从socket到Windows内核 297

    10.1.3 TDI过滤的代码例子 299

    10.2 TDI的过滤框架 299

    10.2.1 绑定TDI的设备 299

    10.2.2 唯一的分发函数 300

    10.2.3 过滤框架的实现 302

    10.2.4 主要过滤的请求类型 304

    10.3 生成请求:获取地址 305

    10.3.1 过滤生成请求 305

    10.3.2 准备解析IP地址与端口 307

    10.3.3 获取生成的IP地址和端口 308

    10.3.4 连接终端的生成与相关信息的保存 310

    10.4 控制请求 311

    10.4.1 TDI_ASSOCIATE_ADDRESS的过滤 311

    10.4.2 TDI_CONNECT的过滤 313

    10.4.3 其他的次功能号 314

    10.4.4 设置事件的过滤 316

    10.4.5 TDI_EVENT_CONNECT类型的设置事件的过滤 318

    10.4.6 直接获取发送函数的过滤 320

    10.4.7 清理请求的过滤 322

    10.5 本书例子tdifw.lib的应用 323

    10.5.1 tdifw库的回调接口 323

    10.5.2 tdifw库的使用例子 325

    本章的示例代码 326

    练习题 327

    第11章 NDIS协议驱动 328

    网络的连接只是外表而已,实际上,最终它们变成了一个个在网线上往返的网络包。高明的黑客是不会去用Socket来生成连接的。把黑暗的信息隐藏在单个的数据包里,你还可以发现它们吗?本章介绍的NDIS协议驱动,是Windows网络抓包工具的基础。

    11.1 以太网包和网络驱动架构 329

    11.1.1 以太网包和协议驱动 329

    11.1.2 NDIS网络驱动 330

    11.2 协议驱动的DriverEntry 331

    11.2.1 生成控制设备 331

    11.2.2 注册协议 333

    11.3 协议与网卡的绑定 335

    11.3.1 协议与网卡的绑定概念 335

    11.3.2 绑定回调处理的实现 335

    11.3.3 协议绑定网卡的API 338

    11.3.4 解决绑定竞争问题 339

    11.3.5 分配接收和发送的包池与缓冲池 340

    11.3.6 OID请求的发送和请求完成回调 342

    11.3.7 ndisprotCreateBinding的最终实现 345

    11.4 绑定的解除 351

    11.4.1 解除绑定使用的API 351

    11.4.2 ndisprotShutdownBinding的实现 353

    11.5 在用户态操作协议驱动 356

    11.5.1 协议的收包与发包 356

    11.5.2 在用户态编程打开设备 357

    11.5.3 用DeviceIoControl发送控制请求 358

    11.5.4 用WriteFile发送数据包 360

    11.5.5 用ReadFile发送数据包 362

    11.6 在内核态完成功能的实现 363

    11.6.1 请求的分发与实现 363

    11.6.2 等待设备绑定完成与指定设备名 364

    11.6.3 指派设备的完成 365

    11.6.4 处理读请求 368

    11.6.5 处理写请求 370

    11.7 协议驱动的接收回调 374

    11.7.1 和接收包有关的回调函数 374

    11.7.2 ReceiveHandler的实现 376

    11.7.3 TransferDataCompleteHandler的实现 380

    11.7.4 ReceivePacketHandler的实现 381

    11.7.5 接收数据包的入队 383

    11.7.6 接收数据包的出队和读请求的完成 385

    本章的示例代码 388

    练习题 389

    第12章 NDIS小端口驱动 390

    如果厌烦了漏洞百出的以太网,还有什么可以充当我的网络接口吗?当然,一切能通信的设备,皆有替代以太网的潜质。即使您不愿意修改无数通过TCP接口编程的应用程序,我们依然可以用其他通信设备来虚拟网卡。本章介绍小端口驱动来虚拟网卡的技术。

    12.1 小端口驱动的应用与概述 391

    12.1.1 小端口驱动的应用 391

    12.1.2 小端口驱动的实例 392

    12.1.3 小端口驱动的运作与编程概述 393

    12.2 小端口驱动的初始化 393

    12.2.1 小端口驱动的DriverEntry 393

    12.2.2 小端口驱动的适配器结构 396

    12.2.3 配置信息的读取 397

    12.2.4 设置小端口适配器上下文 398

    12.2.5 MPInitialize的实现 399

    12.2.6 MPHalt的实现 402

    12.3 打开ndisprot设备 403

    12.3.1 I/O目标 403

    12.3.2 给IO目标发送DeviceIoControl请求 404

    12.3.3 打开ndisprot接口并完成配置设备 406

    12.4 使用ndisprot发送包 409

    12.4.1 小端口驱动的发包接口 409

    12.4.2 发送控制块(TCB) 409

    12.4.3 遍历包组并填写TCB 412

    12.4.4 写请求的构建与发送 415

    12.5 使用ndisprot接收包 417

    12.5.1 提交数据包的内核API 417

    12.5.2 从接收控制块(RCB)提交包 418

    12.5.3 对ndisprot读请求的完成函数 420

    12.5.4 读请求的发送 422

    12.5.5 用于读包的WDF工作任务 424

    12.5.6 ndisedge读工作任务的生成与入列 426

    12.6 其他的特征回调函数的实现 428

    12.6.1 包的归还 428

    12.6.2 OID查询处理的直接完成 429

    12.6.3 OID设置处理 432

    本章的示例代码 433

    练习题 434

    第13章 NDIS中间层驱动 435

    当我们不满足于抓包和发包,而试图控制本机上流入和流出的所有数据包的时候,NDIS中间层驱动是最终的选择。防火墙的功能在这里得到加强:我们不再满足于看到连接、端口、对方IP地址,而是要看到每一个数据包的原始结构。本章介绍NDIS中间层驱动。

    13.1 NDIS中间层驱动概述 436

    13.1.1 Windows网络架构总结 436

    13.1.2 NDIS中间层驱动简介 437

    13.1.3 NDIS中间层驱动的应用 438

    13.1.4 NDIS包描述符结构深究 439

    13.2 中间层驱动的入口与绑定 442

    13.2.1 中间层驱动的入口函数 442

    13.2.2 动态绑定NIC设备 443

    13.2.3 小端口初始化(MpInitialize) 445

    13.3 中间层驱动发送数据包 447

    13.3.1 发送数据包原理 447

    13.3.2 包描述符“重利用” 448

    13.3.3 包描述符“重申请” 451

    13.3.4 发送数据包的异步完成 453

    13.4 中间层驱动接收数据包 455

    13.4.1 接收数据包概述 455

    13.4.2 用PtReceive接收数据包 456

    13.4.3 用PtReceivePacket接收 461

    13.4.4 对包进行过滤 463

    13.5 中间层驱动程序查询和设置 466

    13.5.1 查询请求的处理 466

    13.5.2 设置请求的处理 468

    13.6 NDIS句柄 470

    13.6.1 不可见的结构指针 470

    13.6.2 常见的NDIS句柄 471

    13.6.3 NDIS句柄误用问题 473

    13.6.4 一种解决方案 475

    13.7 生成普通控制设备 476

    13.7.1 在中间层驱动中添加普通设备 476

    13.7.2 使用传统方法来生成控制设备 478

    本章的示例代码 483

    练习题 483

    附录A 如何使用本书的源码光盘 485

    下载链接

    链接:https://pan.baidu.com/s/1uarKsIbmOOTpEk1qNrS6hw

    提取码:fs5p

    CISP资料库房

    关注CISP资料库获取更多资讯

    29d8c7136672fb2c9454f04ce71989fa.png
    15b317eac175719add1a012918952eaf.png
    展开全文
  • 内核编程书籍,感觉还不错,和大家分享一下
  • 很不错的电子书,经典书籍,值得一读
  • 不错的学习系统内核的书籍. 本书的第一部分,将帮助读者消除对汇编的...稍显枯燥的是,它们和Windows内核无关,是纯C语言与汇编语言的关系的章节。如果读者已经精通汇编语言,并能顺利阅读汇编代码,请直接跳过本部分。
  • [天书夜读-从汇编语言到Windows内核编程].谭文.邵坚磊.扫描版,非常经典的c语言和汇编混合编程书籍
  • 深入浅出的讲述了Windows内核安全编程,是国内内核编程方面很好书籍
  • 深入浅出的讲述了Windows内核安全编程,是国内内核编程方面很好书籍
  • 深入浅出的讲述了Windows内核安全编程,是国内内核编程方面很好书籍
  • 基本信息 作者: 《黑客防线》编辑部 林聚伟 ...《Windows内核安全编程从入门到实践》适合大专院校计算机系的学生、Windows程序员、从事信息安全行业的工程师以及所有对Windows内核安全编程感兴趣的爱好者使用。
  • 楚狂人的力作,很不错的书籍。希望学习的值得一看。
  • 推荐书籍 Reversing:Secrets of Reverse Engineering Eldad Eilam;Elliot Chikofsky 汇编阅读笔记 esp存储当前栈顶地址(其实是栈底,因为地址是越来越小变化的),每次调用函数上层函数栈顶地址保存在ebp中...

    第1章

    推荐书籍

    Reversing:Secrets of Reverse Engineering Eldad Eilam;Elliot Chikofsky


    汇编阅读笔记

    esp存储当前栈顶地址(其实是栈底,因为地址是越来越小变化的),每次调用函数上层函数栈顶地址保存在ebp中,所以每个函数开始都是这样:

    push ebp

    mov ebp, esp

    .....

    move esp, ebp

    pop ebp

    函数执行开始的时候,变量p1、p2、p3地址分别为ebp+8 ebp+0ch ebp+10h

    函数局部变量,例如inti,j;通常为ebp-4、 ebp-8。。。。


    第2章

    2.2思考与练习

    int myfunction(int a, int b)
    {
    int d = a+b;
    int i = 1;
    int c = 0;
    while (c<100)
    {
    c+=i;
    }
    switch (c)
    {
    case 0:
    d = 1;
    case 1:
    d = c;
    break;
    default:
    d = 0;
    }


    return d;
    }


    第3章 联系反汇编C语言程序


    for(int i=0; i<2; ++i)
    {
    p3[i*2] = p1[i*2+1]*p2[i*2] + p2[0]*p1[2*i];

    p3[i*2+1] = p1[i*2+1]*p2[3] + p2[1]*p1[i*2];

    p4 += p3[i*2];

    p4 += p3[i*2+1];
    }

    int j = rand()

    switch(j)

    {

    case 100:

    printf("cnt is 100");

    case 110:
    printf("cnt is 110");

    default:

    printf("nothing");

    }




    // 以下为考虑过程,可忽略
    ecx =  p3
    edx = p1
    ebx = p4
    esi = p2
    edi = [p2+8]
    edi *= [p1+8*i+4]
    ebp = [p2]
    ebp *= [p1+8*i]
    edi += ebp
    [p3] = edi
    edi = [p2+0ch]
    edi *= [p1+8*i+4]
    ebp = [p2+4]
    ebp *= [p1+i*8]
    edi += ebp
    ebp = [p3]
    ebp = edi;
    ebx += ebp
    [p3+4] = edi
    eax--
    ecx+=8
    ;循环过程中寄存器值变化:
    ;ecx += 8

    ;ebx +=  edi


    展开全文
  • 这也是我自己所见的唯一一本中文原创的从汇编和反汇编角度来学习Windows内核编程和信息安全软件开发的书。希望读者多多支持。有想购买的读者请发邮件给我。我会在本书出版的第一时间,回复邮件告知购买的方法。 ...
  • 虽然,多年java,正在java,看样子还得继续java。(IT小城,还是整java随意点) 应用程序 运行于操作系统之上, 晓操作系统,方更...核心编程第五版》 《深入理解计算机系统》 (第2版)《用TCP_IP进行网际互连第...
  • 市面上的技术书籍多如牛毛,《寒江独钓——Windows内核安全编程》(下简称《寒江》)是否是我们所需要的书呢?其实我拿到本书的时候并没有感到任何意外。因为我一直都很关注《寒江独钓》这本书。我认识本书的
  • 内容不用多说,适合Windows NT和Windows Vista以及Windows7的驱动模型-WDF,采用的是WDK开发包。真的是很不错,这是驱动大师楚狂人给我们的书籍。由于文件很大,所以分成7个压缩包,希望下载
  • 书籍内容分为用户篇和内核篇两部分,详解WINDOWS系统下黑客编程的技术,按照技术难易梯度依次汇集于一本书内。涉及用户层下的Windows编程内核层下的Rootkit编程。本书分为用户篇和内核篇两部分,用户篇包括11章,...
  • 这是一本关于 windows 系统编程书籍
  • 内容不用多说,适合Windows NT和Windows Vista以及Windows7的驱动模型-WDF,采用的是WDK开发包。真的是很不错,这是驱动大师楚狂人给我们的书籍。由于文件很大,所以分成7个压缩包,希望下载
  • 内容不用多说,适合Windows NT和Windows Vista以及Windows7的驱动模型-WDF,采用的是WDK开发包。真的是很不错,这是驱动大师楚狂人给我们的书籍。由于文件很大,所以分成7个压缩包,希望下载

空空如也

空空如也

1 2 3 4 5 ... 8
收藏数 141
精华内容 56
关键字:

windows内核编程书籍