网络安全入门与提高：Windows内核安全编程从入门到实践

图书标准信息

• 作者 林聚伟 著；《黑客防线》编辑部 编
• 出版社 电子工业出版社
• 出版时间 2012-04
• 版次 1
• ISBN 9787121160981
• 定价 65.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 424页
• 字数 678千字
• 正文语种 简体中文
• 丛书 网络安全入门与提高

【内容简介】

《网络安全入门与提高：Windows内核安全编程从入门到实践》详细介绍了Windows平台下的内核安全编程知识。首先简单介绍了驱动编程的基本方法；然后详细介绍了Windows各个系统组件的工作原理，如文件系统、网络系统自上而下的执行流程。同时还介绍了各个组件涉及的安全问题，如文件隐藏、键盘记录等，并通过工程项目让读者从代码层级了解这些信息安全问题及解决方法；最后介绍了驱动编程本身的安全问题，如安全编码的注意事项和脆弱代码的检测手段。另外《网络安全入门与提高：Windows内核安全编程从入门到实践》还介绍了简单的调试和逆向技术，帮助解决开发过程中遇到的技术难题。通过阅读本书，可以帮助读者更深层次的了解内核态下的信息安全知识。

【目录】

第一部分基础篇
第1章前置要求与环境搭建
1.1驱动编程的语言
1.2开发环境搭建
1.2.1VisualStudio2005/2008的安装与配置
1.2.2WDK的安装与配置
1.2.3VisualDDK的安装与配置
1.3常用工具介绍

第2章内核编程基础知识
2.1Windows主要系统组件
2.1.1对象管理器
2.1.2内存管理器
2.1.3进程和线程管理器
2.1.4I/O管理器
2.1.5PnP管理器
2.1.6电源管理器
2.1.7配置管理器
2.1.8安全引用监视器
2.2常见名词解释
2.2.1内核名词
2.2.2文件名词
2.2.3网络名词
2.3常见内核数据结构
2.3.1驱动框架常见数据结构
2.3.2进程与线程数据结构
2.3.3存储系统数据结构
2.3.4网络数据结构
2.3.5其他一些常见的数据结构

第3章基本编程方法
3.1简单的NT式驱动模型
3.1.1驱动模型的选择
3.1.2NT式驱动程序基本结构
3.1.3编译驱动程序
3.1.4加载驱动及查看输出信息
3.2应用层与内核的通信方法
3.2.1访问数据的I/O方式
3.2.2读写驱动程序
3.2.3发送I/O控制码
3.2.4内存共享
3.3同步技术
3.3.1事件对象
3.3.2信号灯对象
3.3.3互斥体对象
3.3.4定时器对象
3.3.5自旋锁
3.3.6回调对象
3.3.7原子操作
3.4IRP处理
3.4.1简单的IRP流动图
3.4.2IRP的创建
3.4.3IRP的发送
3.4.4为IRP设置完成函数
3.4.5IRP的完成
3.4.6多种典型的IRP处理示例
3.5字符串操作
3.5.1STRING、ANSI_STRING和UNICODE_STRING
3.5.2初始化和销毁
3.5.3复制和添加
3.5.4比较
3.5.5转换
3.6内存管理
3.6.1分配系统空间内存
3.6.2运行时库管理函数
3.6.3使用内核栈
3.6.4使用Lookaside快速链表
3.6.5访问用户空间内存
3.6.6内存区对象和视图
3.6.7MDL的使用
3.7注册表编程
3.7.1注册表对象管理函数
3.7.2注册表运行时库函数
3.7.3注册表调用过滤
3.8文件编程
3.8.1打开文件句柄
3.8.2执行相关文件操作
3.9其他
3.9.1本地系统服务函数的Nt
和Zw版本
3.9.2NTSTATUS返回值
3.9.3双向链表的使用
3.9.4异常处理

第二部分提升篇
第4章进程
4.1进程监控实现原理
4.2Windows7系统下的进程
监控软件实例
4.2.1内核模块程序实现
4.2.2用户模式程序实现
4.3安装与使用

第5章磁盘
5.1存储驱动体系结构
5.2设备树示例
5.3diskperf磁盘过滤驱动
5.3.1diskperf介绍
5.3.2diskperf的过滤框架
5.3.3diskperf的PnP支持
5.3.4diskperf的硬盘访问监控和性能数据捕获
5.3.5diskperf的电源支持
5.3.6diskperf的安装与测试

第6章键盘
6.1原理跟踪
6.1.1自下而上的过程
6.1.2自上而下的过程
6.2几种常见的键盘记录行为
6.2.1应用层的消息钩子
6.2.2键盘过滤驱动
6.2.3键盘类驱动的分发函数Hook
6.2.4DKOM技术
6.2.5其他方法
6.3反键盘记录
6.3.1实现原理
6.3.2反键盘记录示例

第7章文件
7.1原理跟踪
7.1.1Windows存储栈
7.1.2不涉及缓存的数据存储
7.1.3涉及缓存的数据存储
7.2简单的文件隐藏
7.2.1文件隐藏的原理
7.2.2文件隐藏的实现
7.3scanner扫描程序
7.3.1过滤管理器与微过滤驱动概念
7.3.2使用过滤管理模型的优势
7.3.3微过滤驱动的加载和卸载
7.3.4用户模式和内核模式的交互
7.3.5scanner介绍
7.3.6scanner驱动程序
7.3.7scanner应用层程序
7.3.8scanner的安装与使用

第8章网络
8.1原理跟踪
8.2NDIS协议驱动
8.2.1DriverEntry
8.2.2绑定
8.2.3数据发送
8.2.4数据接收
8.2.5数据流动总结
8.3OPEN_BLOCK的展示
8.3.1原理知识
8.3.2相关代码

第三部分辅助篇
第9章安全编码
9.1蓝屏的概念
9.2创建可靠的驱动程序
9.2.1验证设备对象
9.2.2使用安全字符串
9.2.3验证对象句柄
9.2.4支持多CPU
9.2.5确认驱动状态
9.2.6IRP安全检查
9.3使用驱动验证程序
9.3.1驱动验证程序的测试选项
9.3.2使用驱动验证程序

第10章调试与逆向
10.1静态调试
10.1.1静态调试驱动程序
10.1.2静态调试应用程序
10.2动态调试
10.2.1双机调试的基本方法
10.2.2WinDbg的常用命令
10.2.3WinDbg的使用技巧
10.3逆向与调试相结合
10.3.1示例