展开全部

主编推荐语

现代化Windows内部原理权威指南。

内容简介

本书剖析了Windows核心组件行为方式的“内部原理”,主要内容包括服务设备驱动程序和应用程序的系统机制(ALPC、对象管理器、同步、WNF、WoW64和处理器执行模型)、底层硬件架构(陷阱处理、分段和侧信道漏洞)、Windows虚拟化技术(包括基于虚拟化的安全、如何防范操作系统漏洞),以及操作系统为进行管理、配置和诊断所实现的底层机制细节,缓存管理器和文件系统驱动程序如何交互以提供对文件、目录和磁盘的可靠支持等。

目录

  • 版权信息
  • 内容提要
  • 作者简介
  • 前言
  • 第8章 系统机制
  • 8.1 处理器执行模型
  • 8.1.1 段
  • 8.1.2 任务状态段
  • 8.2 硬件侧信道漏洞
  • 8.2.1 乱序执行
  • 8.2.2 CPU分支预测器
  • 8.2.3 CPU缓存
  • 8.2.4 侧信道攻击
  • 8.3 Windows中的侧信道缓解措施
  • 8.3.1 KVA影子
  • 8.3.2 硬件间接分支控制(IBRS、IBPB、STIBP、SSBD)
  • 8.3.3 Retpoline和导入优化
  • 8.3.4 STIBP配对
  • 8.4 陷阱调度
  • 8.4.1 中断调度
  • 8.4.2 基于线的中断和基于消息信号的中断
  • 8.4.3 计时器处理
  • 8.4.4 系统工作线程
  • 8.4.5 异常调度
  • 8.4.6 系统服务处理
  • 8.5 WoW64(Windows-on-Windows)
  • 8.5.1 WoW64核心
  • 8.5.2 文件系统重定向
  • 8.5.3 注册表重定向
  • 8.5.4 AMD64平台上的x86模拟
  • 8.5.5 ARM
  • 8.5.6 内存模型
  • 8.5.7 ARM64平台上的ARM32模拟
  • 8.5.8 ARM64平台上的x86模拟
  • 8.6 对象管理器
  • 8.6.1 执行体对象
  • 8.6.2 对象结构
  • 8.7 同步
  • 8.7.1 高IRQL同步
  • 8.7.2 低IRQL同步
  • 8.8 高级本地过程调用
  • 8.8.1 连接模型
  • 8.8.2 消息模型
  • 8.8.3 异步操作
  • 8.8.4 视图、区域和节
  • 8.8.5 属性
  • 8.8.6 Blob、句柄和资源
  • 8.8.7 句柄的传递
  • 8.8.8 安全性
  • 8.8.9 性能
  • 8.8.10 电源管理
  • 8.8.11 ALPC直接事件属性
  • 8.8.12 调试和跟踪
  • 8.9 Windows通知设施
  • 8.9.1 WNF功能
  • 8.9.2 WNF用户
  • 8.9.3 WNF状态名称和存储
  • 8.9.4 WNF事件聚合
  • 8.10 用户模式调试
  • 8.10.1 内核支持
  • 8.10.2 原生支持
  • 8.10.3 Windows子系统支持
  • 8.11 打包的应用程序
  • 8.11.1 UWP应用程序
  • 8.11.2 Centennial应用程序
  • 8.11.3 主机活动管理器
  • 8.11.4 状态存储库
  • 8.11.5 依赖项小型存储库
  • 8.11.6 后台任务和代理基础架构
  • 8.11.7 打包应用程序的安装和启动
  • 8.11.8 程序包激活
  • 8.11.9 程序包注册
  • 8.12 总结
  • 第9章 虚拟化技术
  • 9.1 Windows虚拟机监控程序
  • 9.1.1 分区、进程和线程
  • 9.1.2 虚拟机监控程序的启动
  • 9.1.3 虚拟机监控程序内存管理器
  • 9.1.4 Hyper-V调度器
  • 9.1.5 虚拟化调用和虚拟机监控程序TLFS
  • 9.1.6 拦截
  • 9.1.7 综合中断控制器
  • 9.1.8 Windows虚拟机监控程序平台API和EXO分区
  • 9.1.9 嵌套虚拟化
  • 9.1.10 ARM64上的Windows虚拟机监控程序
  • 9.2 虚拟化栈
  • 9.2.1 虚拟机管理器服务和工作进程
  • 9.2.2 VID驱动程序和虚拟化栈内存管理器
  • 9.2.3 虚拟机的诞生
  • 9.2.4 VMBus
  • 9.2.5 虚拟硬件支持
  • 9.2.6 VA支持的虚拟机
  • 9.3 基于虚拟化的安全性
  • 9.3.1 虚拟信任级别和虚拟安全模式
  • 9.3.2 VSM提供的服务及其要求
  • 9.4 安全内核
  • 9.4.1 虚拟中断
  • 9.4.2 安全拦截
  • 9.4.3 VSM系统调用
  • 9.4.4 安全线程和调度
  • 9.4.5 虚拟机监控程序实施的代码完整性
  • 9.4.6 UEFI运行时虚拟化
  • 9.4.7 VSM启动
  • 9.4.8 安全内核内存管理器
  • 9.4.9 热修补
  • 9.5 隔离用户模式
  • 9.5.1 Trustlet的创建
  • 9.5.2 安全设备
  • 9.5.3 基于VBS的隔区
  • 9.5.4 系统防护运行时认证
  • 9.6 总结
  • 第10章 管理、诊断和跟踪
  • 10.1 注册表
  • 10.1.1 查看和更改注册表
  • 10.1.2 注册表的使用
  • 10.1.3 注册表数据类型
  • 10.1.4 注册表的逻辑结构
  • 10.1.5 应用程序配置单元
  • 10.1.6 事务型注册表(TxR)
  • 10.1.7 监控注册表活动
  • 10.1.8 进程监视器的内部原理
  • 10.1.9 注册表的内部原理
  • 10.1.10 配置单元重组
  • 10.1.11 注册表的命名空间和操作
  • 10.1.12 稳定存储
  • 10.1.13 注册表过滤
  • 10.1.14 注册表虚拟化
  • 10.1.15 注册表优化
  • 10.2 Windows服务
  • 10.2.1 服务应用程序
  • 10.2.2 服务账户
  • 10.2.3 服务控制管理器
  • 10.2.4 服务控制程序
  • 10.2.5 自启动服务的启动
  • 10.2.6 延迟的自启动服务
  • 10.2.7 触发启动的服务
  • 10.2.8 启动错误
  • 10.2.9 接受启动和最近一次的正确配置
  • 10.2.10 服务故障
  • 10.2.11 服务关闭
  • 10.2.12 共享服务进程
  • 10.2.13 服务标签
  • 10.2.14 用户服务
  • 10.2.15 打包的服务
  • 10.2.16 受保护服务
  • 10.3 任务计划和UBPM
  • 10.3.1 任务计划程序
  • 10.3.2 统一后台进程管理器
  • 10.3.3 任务计划程序COM接口
  • 10.4 Windows管理规范
  • 10.4.1 WMI架构
  • 10.4.2 WMI提供程序
  • 10.4.3 通用信息模型和托管对象格式语言
  • 10.4.4 类关联
  • 10.4.5 WMI的实现
  • 10.4.6 WMI的安全性
  • 10.5 Windows事件跟踪
  • 10.5.1 ETW初始化
  • 10.5.2 ETW会话
  • 10.5.3 ETW提供程序
  • 10.5.4 提供事件
  • 10.5.5 ETW记录器线程
  • 10.5.6 事件的消费
  • 10.5.7 系统记录器
  • 10.5.8 ETW的安全性
  • 10.6 动态跟踪
  • 10.6.1 内部架构
  • 10.6.2 DTrace类型库
  • 10.7 Windows错误报告
  • 10.7.1 用户应用程序崩溃
  • 10.7.2 内核模式(系统)崩溃
  • 10.7.3 进程挂起检测
  • 10.8 全局标记
  • 10.9 内核填充码
  • 10.9.1 填充码引擎初始化
  • 10.9.2 填充码数据库
  • 10.9.3 驱动程序填充码
  • 10.9.4 设备填充码
  • 10.10 总结
  • 第11章 缓存和文件系统
  • 11.1 术语
  • 11.2 缓存管理器的重要功能
  • 11.2.1 单一集中化系统缓存
  • 11.2.2 内存管理器
  • 11.2.3 缓存的一致性
  • 11.2.4 虚拟块缓存
  • 11.2.5 基于流的缓存
  • 11.2.6 可恢复文件系统支持
  • 11.2.7 NTFS MFT工作集的增强
  • 11.2.8 内存分区支持
  • 11.3 缓存虚拟内存管理
  • 11.4 缓存大小
  • 11.4.1 缓存虚拟大小
  • 11.4.2 缓存工作集大小
  • 11.4.3 缓存物理大小
  • 11.5 缓存数据结构
  • 11.5.1 系统级缓存数据结构
  • 11.5.2 每文件缓存数据结构
  • 11.6 文件系统接口
  • 11.6.1 向/从缓存复制
  • 11.6.2 通过映射和固定接口进行缓存
  • 11.6.3 通过直接内存访问接口进行缓存
  • 11.7 快速I/O
  • 11.8 预读取和延后写入
  • 11.8.1 智能预读取
  • 11.8.2 预读取的增强
  • 11.8.3 回写缓存和惰性写入
  • 11.8.4 为某个文件禁用惰性写入
  • 11.8.5 强制缓存直接写入磁盘
  • 11.8.6 刷新映射的文件
  • 11.8.7 写入限流
  • 11.8.8 系统线程
  • 11.8.9 激进的后写入和低优先级惰性写入
  • 11.8.10 动态内存
  • 11.8.11 缓存管理器的磁盘I/O记账
  • 11.9 文件系统
  • 11.9.1 Windows文件系统格式
  • 11.9.2 CDFS
  • 11.9.3 UDF
  • 11.9.4 FAT12、FAT16和FAT32
  • 11.9.5 exFAT
  • 11.9.6 NTFS
  • 11.9.7 ReFS
  • 11.9.8 文件系统驱动程序架构
  • 11.9.9 本地FSD
  • 11.9.10 远程FSD
  • 11.9.11 文件系统操作
  • 11.9.12 显式文件I/O
  • 11.9.13 内存管理器的已修改和已映射页写入器
  • 11.9.14 缓存管理器的惰性写入器
  • 11.9.15 缓存管理器的预读取线程
  • 11.9.16 内存管理器的页面错误处理程序
  • 11.9.17 文件系统过滤器驱动程序和微过滤器
  • 11.9.18 过滤命名管道和邮件槽
  • 11.9.19 控制重分析点的行为
  • 11.9.20 进程监视器
  • 11.10 NT文件系统
  • 11.10.1 高端文件系统的要求
  • 11.10.2 可恢复性
  • 11.10.3 安全性
  • 11.10.4 数据冗余和容错
  • 11.10.5 NTFS的高级功能
  • 11.10.6 多数据流
  • 11.10.7 基于Unicode的名称
  • 11.10.8 通用索引设施
  • 11.10.9 动态坏簇重映射
  • 11.10.10 硬链接
  • 11.10.11 符号(软)链接和交叉
  • 11.10.12 压缩和稀疏文件
  • 11.10.13 变更日志记录
  • 11.10.14 每用户卷配额
  • 11.10.15 链接跟踪
  • 11.10.16 加密
  • 11.10.17 POSIX风格的删除语义
  • 11.10.18 碎片整理
  • 11.10.19 动态分区
  • 11.10.20 NTFS对分层卷的支持
  • 11.11 NTFS驱动程序
  • 11.12 NTFS的磁盘结构
  • 11.12.1 卷
  • 11.12.2 簇
  • 11.12.3 主文件表
  • 11.12.4 文件记录号
  • 11.12.5 文件记录
  • 11.12.6 文件名
  • 11.12.7 隧道
  • 11.12.8 常驻和非常驻属性
  • 11.12.9 数据压缩和稀疏文件
  • 11.12.10 压缩稀疏数据
  • 11.12.11 非稀疏数据的压缩
  • 11.12.12 稀疏文件
  • 11.12.13 变更日志文件
  • 11.12.14 索引
  • 11.12.15 对象ID
  • 11.12.16 配额跟踪
  • 11.12.17 综合安全性
  • 11.12.18 重分析点
  • 11.12.19 存储保留和NTFS预留
  • 11.12.20 事务支持
  • 11.12.21 隔离
  • 11.12.22 事务型API
  • 11.12.23 磁盘上的实现
  • 11.12.24 日志记录的实现
  • 11.13 NTFS恢复支持
  • 11.13.1 设计
  • 11.13.2 元数据日志记录
  • 11.13.3 日志文件服务
  • 11.13.4 日志记录类型
  • 11.13.5 恢复
  • 11.13.6 分析扫描
  • 11.13.7 重做扫描
  • 11.13.8 撤销扫描
  • 11.13.9 NTFS坏簇恢复
  • 11.13.10 自治愈
  • 11.13.11 联机磁盘检查和快速修复
  • 11.14 加密文件系统
  • 11.14.1 首次加密文件
  • 11.14.2 解密过程
  • 11.14.3 备份加密的文件
  • 11.14.4 复制加密的文件
  • 11.14.5 BitLocker加密卸载
  • 11.14.6 联机加密支持
  • 11.15 直接访问磁盘
  • 11.15.1 DAX驱动程序模型
  • 11.15.2 DAX卷
  • 11.15.3 DAX卷上缓存和未缓存的I/O
  • 11.15.4 可执行映像的映射
  • 11.15.5 块卷
  • 11.15.6 文件系统过滤器驱动程序和DAX
  • 11.15.7 刷新DAX模式的I/O
  • 11.15.8 大型页和巨型页的支持
  • 11.15.9 虚拟PM磁盘和存储空间支持
  • 11.16 复原文件系统
  • 11.16.1 Minstore架构
  • 11.16.2 B+树的物理布局
  • 11.16.3 分配器
  • 11.16.4 页表
  • 11.16.5 Minstore I/O
  • 11.16.6 ReFS架构
  • 11.16.7 ReFS在磁盘上的结构
  • 11.16.8 对象ID
  • 11.16.9 安全性和变更日志
  • 11.17 ReFS高级功能
  • 11.17.1 文件块克隆(快照支持)和稀疏VDL
  • 11.17.2 ReFS直写
  • 11.17.3 ReFS恢复支持
  • 11.17.4 泄漏检测
  • 11.17.5 叠瓦式磁记录卷
  • 11.17.6 ReFS对分层卷和SMR的支持
  • 11.17.7 容器压实
  • 11.17.8 压缩和幻象
  • 11.18 存储空间
  • 11.18.1 存储空间的内部架构
  • 11.18.2 存储空间提供的服务
  • 11.19 总结
  • 第12章 启动和关机
  • 12.1 引导过程
  • 12.1.1 UEFI引导
  • 12.1.2 BIOS引导过程
  • 12.1.3 安全启动
  • 12.1.4 Windows启动管理器
  • 12.1.5 启动菜单
  • 12.1.6 运行启动应用程序
  • 12.1.7 测量启动
  • 12.1.8 可信执行
  • 12.1.9 Windows操作系统加载器
  • 12.1.10 从iSCSI启动
  • 12.1.11 虚拟机监控程序加载器
  • 12.1.12 VSM启动策略
  • 12.1.13 安全运行
  • 12.1.14 初始化内核与执行体子系统
  • 12.1.15 内核初始化阶段1
  • 12.1.16 Smss、Csrss和Wininit
  • 12.1.17 ReadyBoot
  • 12.1.18 自动启动的映像
  • 12.1.19 关机
  • 12.1.20 休眠和快速启动
  • 12.1.21 Windows恢复环境(WinRE)
  • 12.1.22 安全模式
  • 12.1.23 安全模式下加载的驱动程序
  • 12.1.24 可感知安全模式的用户程序
  • 12.1.25 启动状态文件
  • 12.2 总结
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

人民邮电出版社

人民邮电出版社是工业和信息化部主管的大型专业出版社,成立于1953年10月1日。人民邮电出版社坚持“立足信息产业、面向现代社会、传播科学知识、服务科教兴国”,致力于通信、计算机、电子技术、教材、少儿、经管、摄影、集邮、旅游、心理学等领域的专业图书出版。