譯者序 III
引言 V
本書的結構 V
本書的曆史 V
第6版的變化 VI
練習實驗 VI
本書沒有覆蓋的話題 VI
提醒和告誡 VII
緻謝 VII
勘誤和本書支持 IX
傾聽您的聲音 IX
保持聯係 IX
第1章概念和工具 1
1.1 WINDOWS操作係統的版本 1
1.2 基礎概念和術語 2
WINDOWS API 2
服務、函數和例程 4
進程、綫程和作業 5
虛擬內存 13
內核模式和用戶模式 15
終端服務及多個會話 19
對象和句柄 20
安全性 21
注冊錶 22
UNICODE 23
1.3 挖掘WINDOWS內部機理 23
性能監視器 24
內核調試 25
WINDOWS軟件開發工具(WINDOWS SDK) 30
WINDOWS驅動程序開發工具 30
SYSINTERNALS工具 31
1.4 本章總結 31
第2章係統架構 33
2.1 需求和設計目標 33
2.2 操作係統模型 34
2.3 總體架構 35
可移植性 37
對稱多處理 38
可伸縮性 40
客戶機和服務器版本之間的差異 41
檢查版本 44
2.4 關鍵的係統組件 46
環境子係統和子係統DLL 47
NTDLL.DLL 53
執行體 54
內核 56
硬件抽象層(HAL) 60
設備驅動程序 62
係統進程 67
2.5 本章總結 77
第3章係統機製 79
3.1 陷阱分發 79
中斷分發 81
定時器處理 110
異常分發 120
係統服務分發 130
3.2 對象管理器 137
執行體對象 139
對象結構 142
3.3 同步 174
高IRQL的同步 175
低IRQL的同步 180
3.4 係統輔助綫程 202
3.5 WINDOWS全局標誌 205
3.6 高級本地過程調用(ALPC) 206
連接模型 207
消息模型 208
異步操作 211
視圖、區域和內存區 211
屬性 212
BLOB、句柄和資源 213
安全性 214
性能 214
調試和跟蹤 215
3.7 內核事件跟蹤 217
3.8 WOW64 220
WOW64進程地址空間布局結構 221
係統調用 221
異常分發 222
用戶APC分發 222
控製颱支持 222
用戶迴調 222
文件係統重定嚮 222
注冊錶的重定嚮 223
I/O控製請求 224
16位安裝器應用程序 225
打印 225
一些限製 225
3.9 用戶模式調試 226
內核支持 226
原生支持 227
WINDOWS子係統支持 229
3.10 映像加載器 229
進程初始化早期工作 231
DLL名稱解析 232
DLL名稱重定嚮 233
已加載模塊數據庫 235
導入信息解析 239
導入過程初始化的後期處理 241
SWITCHBACK 242
API集 243
3.11 超級監督者(HYPER-V) 245
分區 246
父分區 247
子分區 249
硬件仿真和支持 251
3.12 內核事務管理器 265
3.13 熱補丁支持 267
3.14 內核補丁保護 269
3.15 代碼完整性 271
3.16 本章總結 272
第4章管理機製 273
4.1 注冊錶 273
查看和修改注冊錶 273
注冊錶用法 274
注冊錶數據類型 275
注冊錶邏輯結構 276
事務型注冊錶(TXR) 284
監視注冊錶活動 285
注冊錶的內部機理 289
4.2 服務 301
服務應用 301
服務賬戶 307
服務控製管理器 318
服務啓動 320
啓動錯誤 324
接受當前引導和“最後已知的好控製集” 325
服務失敗 327
服務停機 328
共享的服務進程 329
服務標記 333
4.3 統一的後颱進程管理器 333
初始化 334
UBPM API 335
提供者注冊 335
消費者注冊 337
TASKHOST 338
服務控製程序 339
4.4 WINDOWS管理設施 340
提供者 341
公共信息模型(CIM)和可管理對象的格式語言 343
類關聯 347
WMI實現 348
WMI安全性 350
4.5 WINDOWS診斷基礎設施 351
WDI設施 351
診斷策略服務 351
診斷功能 353
4.6 本章總結 354
第5章進程、綫程和作業 355
5.1 進程的內部機理 355
數據結構 355
5.2 受保護進程 362
5.3 CREATEPROCESS的流程 364
階段1:轉換並驗證參數和標誌 365
階段2:打開將要被執行的映像 368
階段3:創建WINDOWS執行體進程對象(PSPALLOCATEPROCESS) 371
階段4:創建初始綫程,以及它的棧和執行環境 376
階段5:執行特定於WINDOWS子係統的初始化後處理 378
階段6:啓動初始綫程的執行 380
階段7:在新進程環境下執行進程初始化 380
5.4 綫程的內部機理 386
數據結構 386
一個綫程的誕生 391
5.5 檢查綫程活動 392
受保護進程的綫程上的訪問限製 394
5.6 工作者工廠(綫程池) 396
5.7 綫程調度 400
WINDOWS調度概述 400
優先級彆 402
綫程狀態 408
分發器數據庫 412
時限 414
優先級提升 420
環境切換 438
調度情形 438
空閑(IDLE)綫程 442
綫程選擇 445
多處理器係統 447
多處理器係統上的綫程選擇 456
處理器的選擇 457
5.8 基於處理器份額的調度 459
分布式公平份額調度 459
CPU比率的限製 466
5.9 動態的處理器添加與更換 467
5.10 作業對象 468
作業的限製 469
作業集 470
5.11 本章總結 472
第6章安全性 473
6.1 安全等級 473
可信計算機係統評估標準(TCSEC) 473
6.2 安全係統組件 476
6.3 保護對象 480
訪問檢查 481
安全標識符(SID) 483
虛擬服務賬戶 503
安全描述符和訪問控製 507
6.4 AUTHZ API 522
6.5 賬戶權限和特權 524
賬戶權限 524
特權 526
超級特權 533
6.6 進程和綫程的訪問令牌 535
6.7 安全審計 535
對象訪問的審計 537
全局審計策略 540
高級審計策略設置 541
6.8 登錄(LOGON) 542
WINLOGON初始化 543
用戶登錄步驟 545
可保證的認證 549
用戶認證的生物識彆框架 550
6.9 用戶賬戶控製和虛擬化 552
文件係統和注冊錶虛擬化 553
權限提升 560
6.10 應用程序標識(APPID) 568
6.11 APPLOCKER 569
6.12 軟件限製策略 575
6.13 本章總結 577
第7章網絡 579
7.1 WINDOWS的網絡總體結構 579
OSI參考模型 580
WINDOWS網絡組件 582
7.2 網絡API 585
WINDOWS套接字(WINDOWS SOCKETS) 585
WINSOCK內核 591
遠過程調用 593
WEB訪問API 597
命名管道和郵件槽 600
NETBIOS 605
其他的網絡API 607
7.3 多重定嚮器支持 614
多提供者轉發器 614
多UNC提供者 617
代理提供者 618
重定嚮器 619
小重定嚮器 621
服務器消息塊與子重定嚮器 622
7.4 分布式文件係統名字空間 623
7.5 分布式文件係統復製 624
7.6 脫機文件 625
緩存模式 627
幻影(GHOSTS) 629
數據安全性 629
緩存的結構 630
7.7 BRANCHCACHE 631
緩存模式 633
BRANCHCACHE優化下的應用程序數據獲取:SMB序列 638
BRANCHCACHE優化下的應用程序數據獲取:HTTP序列 640
7.8 名稱解析 642
域名係統 642
對等體名稱解析協議 642
7.9 位置和拓撲結構 645
網絡位置感知 645
網絡連接狀態指示器 646
鏈路層拓撲發現 649
7.10 協議驅動程序 649
WINDOWS過濾平颱 652
7.11 NDIS驅動程序 658
NDIS小端口的變化形式 662
麵嚮連接的NDIS 662
外接NDIS(REMOTE NDIS) 665
QOS 667
7.12 綁定 669
7.13 分層的網絡服務 670
術語對照錶 681
· · · · · · (
收起)