寒江独钓:Windows内核安全编程（china-pub到货首发，欢迎购买）

寒江独钓:Windows内核安全编程（china-pu到货首发，欢迎购买）



【作　　者】谭文;杨潇;邵坚磊等
【丛 书 名】 驱网核心技术丛书
【出 版 社】 电子工业出版社 【书 号】 9787121087967
【上架时间】 2009-5-25
【出版日期】 2009 年6月 【开 本】 16开 【页 码】 522

市场价 ：￥75.00
会员价 ： ￥56.25(75折)

样章免费试读：http://www.china-pub.com/195592&ref=ps

【内容简介】
本书从Windows内核编程出发，全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术，以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括：Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动（包括TDI过滤驱动及3类NDIS驱动），以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构，并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性，适合从Windows 2000一直到目前最新的Windows 7 Beta版。.

本书适合大专院校计算机系的学生、普通Windows程序员、Windows内核程序员、信息安全行业的程序员，以及希望了解Windows系统底层知识的计算机编程爱好者使用。阅读本书，需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。

序
早在一年前，谭文就和我谈过想写一本既能深刻介绍Windows内核架构，又能结合具体Windows驱动程序开发实例的书。在一年的时间中，谭文一直在构思酝酿。那时候他的《天书夜读——从汇编语言到Windows内核编程》已经出版，《天书夜读》所涉及的内容很广，但就如同书名一样，它的内容不太适合刚刚涉猎Windows内核编程的程序员，反而更像一本供黑客学习的读物。书中翔实地介绍了很多反汇编技巧的技巧，非常的精辟，但对于新手来说，容易对Windows内核编程产生畏惧感。
当我第一次读完《寒江独钓——Windows内核安全编程》的初稿时，我觉得本书非常适合Windows内核程序的入门。Windows内核程序一直被认为是只有高手才能涉及的领域，很多程序员对这种开发都觉得非常神秘。我觉得这是一种错觉，其中有一个很重要的原因就是国内很少出版这方面的书籍。这本书很好地弥补了这方面的空白，我相信大部分读者读完后，都会觉得Windows内核开发程序不再那么神秘。的确，微软自从Windows 2000版本以后，内核的架构变化不是很大。当然，这并不意味着你读完本书后，你就可以对内核开发游刃有余了，这需要你对每一个细节反复研究，并且多做试验。
编写Windows内核程序，就意味着这个程序可以执行任意指令，可以访问计算机所有的软件、硬件资源。因此，稍有不慎就有可能将系统变得不稳定。Windows的设计者设计了各种驱动模型或者框架，如NT式内核驱动模型、WDM框架和新推出的WDF框架。在这些模型框架下编程，就使内核编程变得简单，同样也降低了内核程序崩溃的机会。其实，Windows驱动程序员和黑客都在写内核程序，唯一不同的是驱动程序员按照微软设计的模型写程序，而黑客可以不按照这些框架写。Windows设计的这些框架，可以将操作系统的原理隐藏起来，只暴露一些接口，驱动程序员只要把这些接口写好就可以了。从这个角度看，驱动开发并不难，尤其是读完本书后，更会觉得不难了。但是想完成一些特殊的功能，如内核级隐藏进程等，Windows的这些框架就没什么用处了，程序员就需要对Windows内核有全面的了解，通过直接修改Windows内核来实现这些目的。往往黑客对这种技术乐此不疲，通过修改Windows内核，你会发现你的程序几乎无所不能。
编写内核程序是一件很痛苦的事情，回想起这些年学习内核程序开发的经历，真是感慨万千。就如同谭文所说：编写内核程序的人从某种程度讲是孤独的。当一个经验并不丰富的小程序员面对庞大复杂的并且不开源的Windows框架时，那是一种怎样的无助感啊！谭文是我比较钦佩的程序员之一，他对技术非常执着，并且精力充沛。内核程序的知识涉及面非常广，不同类别的内核程序差别也特别大，他几乎都有所涉猎。相信读者在读完这本书后，能对Windows内核开发有比较详细的了解，同时也能结合书中的实例写出很优秀的内核程序了。
张 帆
2009年5月1日于北京
前 言
本书是一本专门介绍实时扫描的防毒软件、虚拟磁盘、硬盘还原、硬盘加密、文件系统保护、文件透明加密、防火墙、密码输入保护等软件的Windows内核模块的具体实现方法的编程技术书。本书的目的是使读者能够用C语言编写这些核心模块。
大学的时候，在Windows平台上我最初学的是VB，然后是Delphi。我的感觉是，无论想实现任何功能，都早已有工具的开发者给我们准备了良好的接口和文档，让我们学习和使用都非常的方便。因此觉得自己已经学到了终点。如果仅从“能实现功能”的角度讲，我没有必要再学习了，剩下的事情，只是去很舒适地使用那些接口就可以了。那又何必再学习Windows编程呢？
工作之后遇到了障碍。我的第一个任务是实现一个网络的虚拟磁盘。我虽然自以为无所不能，但是也找不到在Windows系统里增加一个虚拟磁盘的API在哪里。我每天都在使用虚拟光驱、杀毒软件、防火墙，但是我从未想过它们如何实现。不是因为我懂，而是因为我自以为任何功能的实现一定是简单而舒适的，等需要的时候再去研究，绝不会有什么困难。
但是实际编码的时候才明白：良好的接口、舒适的编码过程，绝对不是天生之道。天地万物自混沌而起，那些美好的表面，不过是在残酷的现实上重重包裹的包装纸罢了。
一辆新车的表面自然光彩照人，操作接口也人性而美好。但是一旦需要打开车身去修理内部某根漏油的管子，就没有那么容易和舒适了。造成这种情况，绝不是Windows的底层开发者们天生没有美学观念。那些多年积累和维护着并不断改进的无数行代码，已经是人类工程史上的奇迹了。如今要打开它的外壳去肆意修理，当然不是一件轻松的事情。
但这正是Windows内核编程的魅力所在。
只有极少的程序员会需要参与微软的Windows内核开发，也只有极少的读者会自己试图从头开发一个类Windows的操作系统内核（有这方面兴趣的读者，建议参考开源项目ReactOS）。单纯地讲解Windows内核编程对大多数读者都没有意义。但是，信息安全类的软件是内核编程的极好的应用实例。病毒实时监控、防火墙、入侵检测、数据保护还原、数据即时备份、数据加密、数据防止泄密、反外挂等，都不同程度地涉及到内核编程；或者，内核编程可以让它们工作得更好。这些就是本书的内容，因此本书的副标题为“Windows内核安全编程”。“寒江独钓”则表明了这个领域的寒冷与寂寥。
本书和《天书夜读——从汇编语言到Windows内核编程》的不同之处在于：《天书夜读》一书介绍的是自己调试Windows内核、获取知识、解决问题的技巧。因此《天书夜读》一书介绍的内容大部分是没有文档可循的，容易走火入魔。
本书则基本上介绍的是正统的内核编程技术，是微软在内核编程中给信息安全软件开发者提供的相关接口的大集合，是名门正派的技术，不沾邪气。一个好的内核程序员，“正邪兼修”是有必要的。
本书既适合于有志于成为软件程序员的学生使用，也适合于希望加强自己的技术实力的Windows程序员阅读，同时更适合于从事信息安全行业的Windows软件的开发者作为手头参考。
本书对改善病毒横行的网络现状也有一定益处。虽然无助于劝说那些孜孜不倦的病毒开发者们弃恶从善，但是至少有助于他们提高技术素养，学会更认真地编写程序，以免总是写出导致程序崩溃和系统蓝屏的代码，影响无辜者的正常工作。
本书假定读者了解C语言，能理解C语言的基本语法，并且学习过操作系统、计算机网络和数据结构的基础知识。一般来说，如果读者听说过“进程”、“文件系统”、“中断”、“TCP协议”、“以太网包”、“链表”、“哈希表”、“加密算法”这些名词，则足够阅读此书了。
有些读者可能会关心作为一个程序员的就业前景。这也是我非常关心的一个问题。我曾经在杭州的核新软件公司为证券营业部开发防火墙和虚拟磁盘，一共3年的时间；后来在日电卓越软件（北京）的上海分公司开发部信息安全开发课工作了3年。我认识的业界朋友们，大多在赛门铁克、趋势、瑞星、EMC、华赛这样的公司就职。现在是我工作的第7个年头了，我在Intel在上海的紫竹中心参与动态二进制翻译项目。最有价值的是，我参与的每一个项目都让我学习到更多的知识，面对许多前所未有的考验，每一步都让人充满了精神上的成就感。
本书的读者未来很可能会从事底层编码的工作，而不是一个上层的设计和管理人员。从事底层编码的程序员，常常被同事称为“牛人”。这个牛人不是“牛皮哄哄的人”的意思，而是“像牛一样辛苦工作的人”的意思。想从事这个行业的读者，我抄我的前同事钱铮最喜欢的一首古诗《代牛言》献给您：
渴饮颍水流，饿喘吴门月。黄金如可种，我力终不竭。
谭 文
2009年1月1日
阅读注意
如何阅读本书
请注意，本书基本上不可以跳读。虽然书中的内容是按照应用的领域进行划分，但是并没有采用一种分类介绍所有基础知识，然后分各个领域介绍的模式。而是从简单的应用到复杂的应用依次进行的。
本书首先最简单地介绍了串口的过滤，然后是键盘的过滤（用于密码保护）。先介绍这些内容是因为它们在驱动中最简单。但是并不是意味着只关心网络过滤的读者，可以跳过它们，直接翻到NDIS中间层驱动的章节进行阅读。
本书所有的章节内容，采用的都是基于WDK的C语言编程。在编程方法上是统一而且一脉相承的。对于所有的内核API函数的介绍、特殊名词、基础概念的说明，本书都是在具体范例中，第一次出现时做详细的介绍，并举出例子。而以后再出现时，就直接使用而不做介绍了。因此，要对后面介绍的复杂的内核模块的章节能顺利地阅读，必须以前面的简单的章节为基础。
书中的代码
书中及附带光盘中的代码，仅供学习与研究使用。这些代码有一部分是笔者所写，有一部分是修改或者直接引用了业内公开的、可供研究使用的代码。这些代码在笔者的测试环境下都可以正常运行。但是笔者并不保证这些代码都有相应的授权可以应用于商业开发中，也不保证这些代码在所有版本的Windows、与其他任何软件并存都能可靠运行。商业级的内核代码需要经过详尽的测试，本书中的示例代码并不具备这个过程。
读者在运行这些代码时，应该自己使用合理的安全手段（保存未保存的文件、使用虚拟机，或者在运行之前准备硬盘还原映像），以便万一系统损坏时可以恢复。至于具体的操作方法，请读者参考本书第1章“内核上机指导”。笔者对读者因为运行这些代码时发生的意外而导致的损失不负责任。
如果本书的读者将这些代码应用到商业软件开发中，由此所引发的一切后果（如版权上的侵犯和技术上的问题，以及相应造成的损失），本书的作者都不承担任何责任。
如果读者发现测试时某个示例程序无法运行，请做以下的事：
（1）在虚拟机上安装一个干净的Windows XP；不要安装任何其他软件。
（2）确保虚拟机模拟的是单核的CPU。
如果程序依然崩溃，请保留dump文件，并用E-mail联系本书的作者。
阅读前的准备
读者必须先准备编译和调试环境。内核编程的环境不像应用编程只需要安装一个软件那么简单。具体的方法在本书第1章有详细的介绍。
随书光盘上并没有提供运行、调试本书示例代码的完整工具集。这是因为有一部分软件的授权要求为“不得拷贝分发”，所以需要读者自己在网上下载。但是幸运的是，本书涉及的所有必要工具软件都是免费的，第1章中提供了相应的说明和下载的网址，下载的网址可能有时效性。同时由于工具软件版本的升级，这些说明可能和实际的情况有所不同，读者应该在网上搜索最新的信息。
关于本书读者所需要的基础知识，笔者认为应该精通C语言（汇编与C++是不必要的，本书只使用C语言编程），至少熟悉Windows下C语言的一种应用编程方式（比如使用过VC或者C++Builder）。如果从事过驱动开发，那是非常好的基础。但是本书尽量面向没有从事过驱动开发的读者。
操作系统、计算机网络、数据结构与算法的基础知识对于理解本书的内容很有帮助，完全没有学习过这方面知识的读者会难以理解书中的一些细节。
技术细节的说明
本书是由实际从业的程序员所写，总体而言，是实践而不是理论之书。所以和一些常见的编程技术类书籍不同，本书对一些具体的技术细节的描述可能不详细，比如对内核函数的参数使用的说明。一般来说，Windows的应用层API函数和内核API函数的参数都非常复杂，详细地说明它们需要较大的篇幅。但是更重要的是，在绝大多数情况下，使用的参数组合仅仅是常见的几种。本书以笔者实际的编程经验，详细介绍在开发中实际使用的参数配置；而对于笔者从未使用或者极少使用的情况，则往往以“笔者也从未使用过”进行说明。因为笔者认为，知道哪些细节有用，远比了解有哪些细节更加重要。所以读者应该理解这一点：本书提到的情况，往往是必须掌握的；而本书未提及的情况，则往往是很不常用的。如果需要用到的细节本书没有提供，大部分都可以在帮助文档中查到。
与应用编程不同，内核编程（尤其是信息安全软件涉及的内核编程）总有部分技术点没有文档可循，有时虽然有文档，也语焉不详。有些问题，笔者也并没有搞清其原因，但是在实际开发中却是必须解决的，因此很有可能是通过经验解决。为此，书中虽然说“请务必这样做”，或者说“笔者是这样做的”，但是并不能详尽地说出原因。如果有读者对某个问题有更深入的了解，敬请与笔者联络，以便在重印或再版时加入更明确的说明。
词汇的翻译
在这个行业中有太多词汇来源于英文文档，因此如何翻译为中文是一个难题。一般地说，应当沿用业界最常用的翻译方式。但是由于笔者所读过的翻译书籍毕竟有限，不大可能使各个词汇都符合业界最标准的翻译方式。为了稳妥起见，那些重要的、可能引起疑惑的词汇在本书正文第一次出现时，都使用“中文（英文）”的方式。
有少数词汇是笔者在阅读前人的书籍时，曾经深感疑惑的。为了浅显起见，有意地使用了本人自认为更浅显的翻译方式。最典型的就是“System Routine”，所有在WDK中提供的开发者可以调用的函数（类似于SDK中提供的API函数）都称为“System Routine”。笔者见过以前的书中翻译为“系统例程”。既然它就是一个函数，笔者倒是觉得翻译为“内核API”或者“内核函数”，对于习惯应用程序编程的读者会更好理解。同理，“Dispatch Routine”也被笔者翻译成了“分发函数”。读者如果认为有不妥或者错误的地方，敬请批评指正，以便在重印或再版时修改。
驱动开发模型的选择
WDF是Windows驱动编程模型的发展趋势，但是传统的NT式驱动、WDM模型依然是理解驱动开发的基础。目前，完全抛弃传统是不可能的。一方面，传统的模型编写的驱动程序依然有效，而且有大量现成的例子可以参考；另一方面，WDF虽然已经出来很久了，但是有许多的基础例子找不到WDF的范本。很多无处不用的驱动程序是人类经过多久都不愿意去重新开发的，虽然微软把大部分旧的驱动程序的例子改为了WDF模型，并在WDK中和旧例子一起提供给开发者参考，全面取代WDM的时代依然没有到来。这个过程还有赖于WDF自身的进一步完善。
如何区分驱动模型？下面是本书第2章中的一段：
“Windows的模型概念，本来是就驱动程序的行为而言的。比如WDM驱动，必须要满足提供n种被要求的特性（如电源管理、即插即用）才被称为WDM驱动。但是如果不提供这些功能，那么统一称为NT式驱动。
本书采用简单的区分方法。将一切在Windows 2000～Windows Vista下能正常运作且未调用WDF相关的内核API函数的驱动都称为传统型驱动（包括NT式和WDM）。如果调用了WDF相关的内核API则称为WDF驱动。
从目前笔者的理解来看，WDF的编程方式是对已有的在WDM中广泛使用的内核API函数的一次封装，尤其是对以Io开头的系列函数，包括驱动对象（Driver Object）、设备对象（Device Object）、和请求（IRP）相关的API进行了封装，而且旧的API完全可以调用。已经有太多的内核程序依赖于旧的接口，微软在很长一段时间内都不可能要求只能使用WDF编程。
因此本书采用二者并重的方式。大部分例子用传统型驱动方式编码，另一些例子则使用WDF的方式编码（虚拟磁盘与虚拟网卡）。读者会发现这二者之间一脉相承，只要熟练掌握传统型的编程方法，了解WDF会是非常轻松和愉快的过程。
本书的习题
有些读者不喜欢用习题来练习的方式，他们认为“这只是一些知识性的东西，记下来是浪费大脑的空间”或者“这些东西在需要的时候再去查阅资料就可以了”等。确实，有许多细节是不需要去记忆的。对一个程序员来说，最重要的就是在需求产生、得到问题时，明白应该从哪里入手去解决这个问题。这就要有一些在大脑中已经建立的概念。如果是处在完全蒙昧无知的状态下，那么就算把整个图书馆都摆在面前，也完全没有意义。
本书每章后都附有少量的习题，这些习题的目的在于让读者自我检查，读完一章后是否已经建立了正确的概念。此外，还有一些常识性的习题（比如指令int 3的意义是什么），是会对读者在进行实际工作时有很大帮助的，建议读者不要忽略。
目 录
第1章 内核上机指导1
Windows内核编程的动手有点麻烦，并不是仅仅安装一个独立的软件（比如VC）之后就可以安然地开始编写代码，然后运行了。需要下载开发包、配置开发环境、准备调试工具，可能还需要一些小工具协同工作。这一步拦住了不少的初学者。本章以详细图文攻略，来引导读者完成这一麻烦的步骤。
1.1 下载和使用WDK2
1.1.1 下载安装WDK2
1.1.2 编写第一个C文件3
1.1.3 编译一个工程5
1.2 安装与运行6
1.2.1 下载一个安装工具6
1.2.2 运行与查看输出信息7
1.2.3 在虚拟机中运行9
1.3 调试内核模块9
1.3.1 下载和安装WinDbg9
1.3.2 设置Windows XP调试执行10
1.3.3 设置Vista调试执行11
1.3.4 设置VMWare的管道虚拟串口11
1.3.5 设置Windows内核符号表13
1.3.6 实战调试first14
练习题16
第2章 内核编程环境及其特殊性17
编写过驱动程序的读者可能会很熟悉这一切，但是对只从事过应用程序的读者而言，要理解内核编程环境的特殊性，就很需要一些功夫和悟性了。在应用程序中，多线程的情况已经带来了一定理解的困难；而内核代码呢？几乎无时无刻不运行在多线程之下。它从哪里开始？从哪里结束？它在什么进程内运行？这些问题一言难尽。
2.1 内核编程的环境18
2.1.1 隔离的应用程序18
2.1.2 共享的内核空间19
2.1.3 无处不在的内核模块20
2.2 数据类型21
2.2.1 基本数据类型21
2.2.2 返回状态22
2.2.3 字符串23
2.3 重要的数据结构23
2.3.1 驱动对象23
2.3.2 设备对象25
2.3.3 请求26
2.4 函数调用28
2.4.1 查阅帮助28
2.4.2 帮助中有的几类函数30
2.4.3 帮助中没有的函数32
2.5 Windows的驱动开发模型32
2.6 WDK编程中的特殊点33
2.6.1 内核编程的主要调用源33
2.6.2 函数的多线程安全性34
2.6.3 代码的中断级36
2.6.4 WDK中出现的特殊代码37
练习题38
第3章 串口的过滤40
在安全软件的开发中，串口驱动的应用并不常见。但是本书以串口驱动作为第一个介绍的实例。为何？仅仅是因为串口简单。从简单的例子入手，可以为读者带来稍许轻松的感受。
3.1 过滤的概念41
3.1.1 设备绑定的内核API之一41
3.1.2 设备绑定的内核API之二43
3.1.3 生成过滤设备并绑定43
3.1.4 从名字获得设备对象45
3.1.5 绑定所有串口46
3.2 获得实际数据47
3.2.1 请求的区分47
3.2.2 请求的结局48
3.2.3 写请求的数据49
3.3 完整的代码50
3.3.1 完整的分发函数50
3.3.2 如何动态卸载52
3.3.3 完整的代码53
本章的示例代码53
练习题54
第4章 键盘的过滤56
键盘是很重要的输入设备！这是因为我们用键盘录入信息、用键盘输入密码，甚至用键盘编程，也用键盘著书立说。对于黑客来说，使用庞大的计算机资源去破解那些坚不可摧的加密算法，哪如偷偷地记下用户用键盘输入的密钥更加简单呢？本章专注于键盘的保护。
4.1 技术原理57
4.1.1 预备知识57
4.1.2 Windows中从击键到内核58
4.1.3 键盘硬件原理60
4.2 键盘过滤的框架61
4.2.1 找到所有的键盘设备61
4.2.2 应用设备扩展64
4.2.3 键盘过滤模块的DriverEntry65
4.2.4 键盘过滤模块的动态卸载66
4.3 键盘过滤的请求处理68
4.3.1 通常的处理68
4.3.2 PNP的处理69
4.3.3 读的处理70
4.3.4 读完成的处理71
4.4 从请求中打印出按键信息72
4.4.1 从缓冲区中获得KEYBOARD_INPUT_DATA72
4.4.2 从KEYBOARD_INPUT_DATA中得到键73
4.4.3 从MakeCode到实际字符74
4.5 Hook分发函数75
4.5.1 获得类驱动对象76
4.5.2 修改类驱动的分发函数指针77
4.5.3 类驱动之下的端口驱动78
4.5.4 端口驱动和类驱动之间的协作机制79
4.5.5 找到关键的回调函数的条件80
4.5.6 定义常数和数据结构80
4.5.7 打开两种键盘端口驱动寻找设备81
4.5.8 搜索在KbdClass类驱动中的地址83
4.6 Hook键盘中断反过滤86
4.6.1 中断：IRQ和INT86
4.6.2 如何修改IDT87
4.6.3 替换IDT中的跳转地址88
4.6.4 QQ的PS/2反过滤措施90
4.7 利用IOAPIC重定位中断处理函数90
4.7.1 什么是IOAPIC90
4.7.2 如何访问IOAPIC91
4.7.3 编程修改IOAPIC重定位表92
4.7.4 插入新的中断处理93
4.7.5 驱动入口和卸载的实现95
4.8 直接用端口操作键盘96
4.8.1 读取键盘数据和命令端口96
4.8.2 p2cUserFilter的最终实现97
本章的示例代码98
练习题99
第5章 磁盘的虚拟100
CPU是计算机的核心，但是它不保存信息。如果它被窃，我们可以简单地购买一个新的。但是如果装满了机密信息的硬盘被窃了，那可就不是买一个新的就能弥补得了的。本章介绍硬盘内核魔术：虚拟硬盘。虚拟硬盘可以不被者利用吗？良好的设计可以做到这一点。
5.1 虚拟的磁盘101
5.2 一个具体的例子101
5.3 入口函数102
5.3.1 入口函数的定义102
5.3.2 Ramdisk驱动的入口函数103
5.4 EvtDriverDeviceAdd函数104
5.4.1 EvtDriverDeviceAdd的定义104
5.4.2 局部变量的声明105
5.4.3 磁盘设备的创建105
5.4.4 如何处理发往设备的请求107
5.4.5 用户配置的初始化108
5.4.6 链接给应用程序110
5.4.7 小结111
5.5 FAT12/16磁盘卷初始化111
5.5.1 磁盘卷结构简介111
5.5.2 Ramdisk对磁盘的初始化113
5.6 驱动中的请求处理119
5.6.1 请求的处理119
5.6.2 读/写请求120
5.6.3 DeviceIoControl请求122
5.7 Ramdisk的编译和安装124
5.7.1 编译124
5.7.2 安装125
5.7.3 对安装的深入探究125
练习题126
第6章 磁盘过滤127
很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题：重启之后，对硬盘的修改都奇迹般地消失了。这是怎么实现的呢？本章告诉您答案。
6.1 磁盘过滤驱动的概念128
6.1.1 设备过滤和类过滤128
6.1.2 磁盘设备和磁盘卷设备过滤驱动128
6.1.3 注册表和磁盘卷设备过滤驱动129
6.2 具有还原功能的磁盘卷过滤驱动129
6.2.1 简介129
6.2.2 基本思想130
6.3 驱动分析130
6.3.1 DriverEntry函数130
6.3.2 AddDevice函数132
6.3.3 PnP请求的处理136
6.3.4 Power请求的处理140
6.3.5 DeviceIoControl请求的处理140
6.3.6 bitmap的作用和分析144
6.3.7 boot驱动完成回调函数和稀疏文件150
6.3.8 读/写请求的处理152
6.3.9 示例代码160
6.3.10 练习题161
第7章 文件系统的过滤与监控162
硬盘是硬盘，而文件系统是文件系统，可是有的人总是把它们当做一回事。其实硬盘很简单，硬盘就是一个很简单的保存信息的盒子；而复杂的是文件系统，它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家，我们当然不能让文件系统脱离我们的控制之外。
7.1 文件系统的设备对象163
7.1.1 控制设备与卷设备163
7.1.2 生成自己的一个控制设备165
7.2 文件系统的分发函数166
7.2.1 普通的分发函数166
7.2.2 文件过滤的快速IO分发函数167
7.2.3 快速IO分发函数的一个实现169
7.2.4 快速IO分发函数逐个简介170
7.3 设备的绑定前期工作172
7.3.1 动态地选择绑定函数172
7.3.2 注册文件系统变动回调173
7.3.3 文件系统变动回调的一个实现175
7.3.4 文件系统识别器176
7.4 文件系统控制设备的绑定177
7.4.1 生成文件系统控制设备的过滤设备177
7.4.2 绑定文件系统控制设备178
7.4.3 利用文件系统控制请求180
7.5 文件系统卷设备的绑定183
7.5.1 从IRP中获得VPB指针183
7.5.2 设置完成函数并等待IRP完成184
7.5.3 卷挂载IRP完成后的工作187
7.5.4 完成函数的相应实现190
7.5.5 绑定卷的实现191
7.6 读/写操作的过滤193
7.6.1 设置一个读处理函数193
7.6.2 设备对象的区分处理194
7.6.3 解析读请求中的文件信息195
7.6.4 读请求的完成198
7.7 其他操作的过滤202
7.7.1 文件对象的生存周期202
7.7.2 文件的打开与关闭203
7.7.3 文件的删除205
7.8 路径过滤的实现206
7.8.1 取得文件路径的3种情况206
7.8.2 打开成功后获取路径207
7.8.3 在其他时刻获得文件路径209
7.8.4 在打开请求完成之前获得路径名209
7.8.5 把短名转换为长名211
7.9 把sfilter编译成静态库212
7.9.1 如何方便地使用sfilter212
7.9.2 初始化回调、卸载回调和绑定回调213
7.9.3 绑定与回调215
7.9.4 插入请求回调216
7.9.5 如何利用sfilter.lib218
本章的示例代码221
练习题221
第8章 文件系统透明加密223
如何阻止企业的机密文件被主动泄密，但是又不用关闭网络、禁止U盘等手段重重束缚大家？很多迹象表明，文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统，那么现在，该是我们摩拳擦掌，用它来保护我们的机密信息的时候了。
8.1 文件透明加密的应用224
8.1.1 防止企业信息泄密224
8.1.2 文件透明加密防止企业信息泄密224
8.1.3 文件透明加密软件的例子225
8.2 区分进程226
8.2.1 机密进程与普通进程226
8.2.2 找到进程名字的位置227
8.2.3 得到当前进程的名字228
8.3 内存映射与文件缓冲229
8.3.1 记事本的内存映射文件229
8.3.2 Windows的文件缓冲230
8.3.3 文件缓冲：明文还是密文的选择232
8.3.4 清除文件缓冲233
8.4 加密标识236
8.4.1 保存在文件外、文件头还是文件尾236
8.4.2 隐藏文件头的大小237
8.4.3 隐藏文件头的设置偏移239
8.4.4 隐藏文件头的读/写偏移240
8.5 文件加密表241
8.5.1 何时进行加密操作241
8.5.2 文件控制块与文件对象242
8.5.3 文件加密表的数据结构与初始化243
8.5.4 文件加密表的操作：查询244
8.5.5 文件加密表的操作：添加245
8.5.6 文件加密表的操作：删除246
8.6 文件打开处理248
8.6.1 直接发送IRP进行查询与设置操作248
8.6.2 直接发送IRP进行读/写操作250
8.6.3 文件的非重入打开252
8.6.4 文件的打开预处理255
8.7 读写加密/解密260
8.7.1 在读取时进行解密260
8.7.2 分配与释放MDL261
8.7.3 写请求加密262
8.8 crypt_file的组装265
8.8.1 crypt_file的初始化265
8.8.2 crypt_file的IRP预处理266
8.8.3 crypt_file的IRP后处理269
本章的示例代码272
练习题272
第9章 文件系统微过滤驱动273
从来都不原地踏步的微软，早就准备好了下一代的文件系统过滤的框架、文档、代码例子。虽然本书的前两章的范例在Windows 7上都还可以正常运行，但是如果不学习一下最新的接口，读者一定会觉得不自在。但是读者可以放心，在前面学习的基础上，了解新的接口是易如反掌的。
9.1 文件系统微过滤驱动简介274
9.1.1 文件系统微过滤驱动的由来274
9.1.2 Minifilter的优点与不足275
9.2 Minifilter的编程框架275
9.2.1 微文件系统过滤的注册276
9.2.2 微过滤器的数据结构277
9.2.3 卸载回调函数280
9.2.4 预操作回调函数281
9.2.5 后操作回调函数284
9.2.6 其他回调函数285
9.3 Minifilter如何与应用程序通信288
9.3.1 建立通信端口的方法288
9.3.2 在用户态通过DLL使用通信端口的范例290
9.4 Minifilter的安装与加载292
9.4.1 安装Minifilter的INF文件293
9.4.2 启动安装完成的Minifilter294
本章的示例代码295
练习题295
第10章 网络传输层过滤296
笔者常常使用防火墙，它们看上去真的很神奇。如果怀疑自己的机器上有见不得人的进程打开了网络端口盗走机密信息，防火墙将提醒您，虽然防火墙并不知道它是否是一个木马。这是怎么做到的？本章为您揭晓谜底。
10.1 TDI概要297
10.1.1 为何选择TDI297
10.1.2 从socket到Windows内核297
10.1.3 TDI过滤的代码例子299
10.2 TDI的过滤框架299
10.2.1 绑定TDI的设备299
10.2.2 唯一的分发函数300
10.2.3 过滤框架的实现302
10.2.4 主要过滤的请求类型304
10.3 生成请求：获取地址305
10.3.1 过滤生成请求305
10.3.2 准备解析IP地址与端口307
10.3.3 获取生成的IP地址和端口308
10.3.4 连接终端的生成与相关信息的保存310
10.4 控制请求311
10.4.1 TDI_ASSOCIATE_ADDRESS的过滤311
10.4.2 TDI_CONNECT的过滤313
10.4.3 其他的次功能号314
10.4.4 设置事件的过滤316
10.4.5 TDI_EVENT_CONNECT类型的设置事件的过滤318
10.4.6 直接获取发送函数的过滤320
10.4.7 清理请求的过滤322
10.5 本书例子tdifw.lib的应用323
10.5.1 tdifw库的回调接口323
10.5.2 tdifw库的使用例子325
本章的示例代码326
练习题327
第11章 NDIS协议驱动328
网络的连接只是外表而已，实际上，最终它们变成了一个个在网线上往返的网络包。高明的黑客是不会去用Socket来生成连接的。把黑暗的信息隐藏在单个的数据包里，你还可以发现它们吗？本章介绍的NDIS协议驱动，是Windows网络抓包工具的基础。
11.1 以太网包和网络驱动架构329
11.1.1 以太网包和协议驱动329
11.1.2 NDIS网络驱动330
11.2 协议驱动的DriverEntry331
11.2.1 生成控制设备331
11.2.2 注册协议333
11.3 协议与网卡的绑定335
11.3.1 协议与网卡的绑定概念335
11.3.2 绑定回调处理的实现335
11.3.3 协议绑定网卡的API338
11.3.4 解决绑定竞争问题339
11.3.5 分配接收和发送的包池与缓冲池340
11.3.6 OID请求的发送和请求完成回调342
11.3.7 ndisprotCreateBinding的最终实现345
11.4 绑定的解除351
11.4.1 解除绑定使用的API351
11.4.2 ndisprotShutdownBinding的实现353
11.5 在用户态操作协议驱动356
11.5.1 协议的收包与发包356
11.5.2 在用户态编程打开设备357
11.5.3 用DeviceIoControl发送控制请求358
11.5.4 用WriteFile发送数据包360
11.5.5 用ReadFile发送数据包362
11.6 在内核态完成功能的实现363
11.6.1 请求的分发与实现363
11.6.2 等待设备绑定完成与指定设备名364
11.6.3 指派设备的完成365
11.6.4 处理读请求368
11.6.5 处理写请求370
11.7 协议驱动的接收回调374
11.7.1 和接收包有关的回调函数374
11.7.2 ReceiveHandler的实现376
11.7.3 TransferDataCompleteHandler的实现380
11.7.4 ReceivePacketHandler的实现381
11.7.5 接收数据包的入队383
11.7.6 接收数据包的出队和读请求的完成385
本章的示例代码388
练习题389
第12章 NDIS小端口驱动390
如果厌烦了漏洞百出的以太网，还有什么可以充当我的网络接口吗？当然，一切能通信的设备，皆有替代以太网的潜质。即使您不愿意修改无数通过TCP接口编程的应用程序，我们依然可以用其他通信设备来虚拟网卡。本章介绍小端口驱动来虚拟网卡的技术。
12.1 小端口驱动的应用与概述391
12.1.1 小端口驱动的应用391
12.1.2 小端口驱动的实例392
12.1.3 小端口驱动的运作与编程概述393
12.2 小端口驱动的初始化393
12.2.1 小端口驱动的DriverEntry393
12.2.2 小端口驱动的适配器结构396
12.2.3 配置信息的读取397
12.2.4 设置小端口适配器上下文398
12.2.5 MPInitialize的实现399
12.2.6 MPHalt的实现402
12.3 打开ndisprot设备403
12.3.1 I/O目标403
12.3.2 给IO目标发送DeviceIoControl请求404
12.3.3 打开ndisprot接口并完成配置设备406
12.4 使用ndisprot发送包409
12.4.1 小端口驱动的发包接口409
12.4.2 发送控制块（TCB）409
12.4.3 遍历包组并填写TCB412
12.4.4 写请求的构建与发送415
12.5 使用ndisprot接收包417
12.5.1 提交数据包的内核API417
12.5.2 从接收控制块（RCB）提交包418
12.5.3 对ndisprot读请求的完成函数420
12.5.4 读请求的发送422
12.5.5 用于读包的WDF工作任务424
12.5.6 ndisedge读工作任务的生成与入列426
12.6 其他的特征回调函数的实现428
12.6.1 包的归还428
12.6.2 OID查询处理的直接完成429
12.6.3 OID设置处理432
本章的示例代码433
练习题434
第13章 NDIS中间层驱动435
当我们不满足于抓包和发包，而试图控制本机上流入和流出的所有数据包的时候，NDIS中间层驱动是最终的选择。防火墙的功能在这里得到加强：我们不再满足于看到连接、端口、对方IP地址，而是要看到每一个数据包的原始结构。本章介绍NDIS中间层驱动。
13.1 NDIS中间层驱动概述436
13.1.1 Windows网络架构总结436
13.1.2 NDIS中间层驱动简介437
13.1.3 NDIS中间层驱动的应用438
13.1.4 NDIS包描述符结构深究439
13.2 中间层驱动的入口与绑定442
13.2.1 中间层驱动的入口函数442
13.2.2 动态绑定NIC设备443
13.2.3 小端口初始化（MpInitialize）445
13.3 中间层驱动发送数据包447
13.3.1 发送数据包原理447
13.3.2 包描述符“重利用”448
13.3.3 包描述符“重申请”451
13.3.4 发送数据包的异步完成453
13.4 中间层驱动接收数据包455
13.4.1 接收数据包概述455
13.4.2 用PtReceive接收数据包456
13.4.3 用PtReceivePacket接收461
13.4.4 对包进行过滤463
13.5 中间层驱动程序查询和设置466
13.5.1 查询请求的处理466
13.5.2 设置请求的处理468
13.6 NDIS句柄470
13.6.1 不可见的结构指针470
13.6.2 常见的NDIS句柄471
13.6.3 NDIS句柄误用问题473
13.6.4 一种解决方案475
13.7 生成普通控制设备476
13.7.1 在中间层驱动中添加普通设备476
13.7.2 使用传统方法来生成控制设备478
本章的示例代码483
练习题483
附录A 如何使用本书的源码光盘485