Windows内核编程

谭文，网名楚狂人，已有十七年客户端安全软件开发经验。先后在NEC、英特尔亚太研发有限公司、腾讯科技任职。曾经从事过企业安全软件、x86版Android的houdini项目、腾讯电脑管家、腾讯游戏安全等开发工作。对Windows内核有深入研究，现任腾讯科技游戏安全团队驱动程序开发负责人，专家工程师。陈铭霖，十余年终端开发经验，先后任深信服科技架构师、腾讯科技高级工程师；曾主导腾讯电脑管家内核安全驱动开发，以及疑难病毒打击项目、腾讯Windows服务器安全开发项目；对Windows及macOS系统有深入研究，在To C以及To B行业有丰富的开发经验，现任数篷科技高级架构师，终端安全负责人。

到现在仍清晰记得初见铭霖兄时，他儒雅、谦逊，令人印象非常深刻，而我早在此之前就拜读过铭霖兄的著作。

现在回想起来，我不由得对那本书有了更加深刻的理解。

记得那是在2015年年末，当时我们正在策划规模约1000多个课时的系统内核安全课程，教研部的负责人当时向我推荐了一本集大成之作，并准备以此书为模板策划课程的大部分内容，而这个负责重新整理编辑以前中国内核领域两本大作的编者正是铭霖兄。

当时的课程研发工作从2015年年末一直持续到了2017年年初，虽然在此之前我们教研组的老师，以及课程研发的负责人都做过内核安全相关的研究，但仍然被其中冗杂的规则与部分讳莫如深的非公开技术细节拖住了脚步，整个研发工作进展颇为艰辛，而正是铭霖兄的那本著作，为我们艰难的研发之旅点亮了一盏明灯，大大加快了我们课程研发的步伐，也正是因为这次经历，使得陈铭霖这个名字印在了我的脑海里。

后来在一次偶然的机会下，得知铭霖兄正在写一本新的与Windows内核编程相关的书籍，顿时激起了我的好奇心，由于我也曾出版过两本书籍，深知耕耘文字的不易，像系统内核编程这种前后依存关系紧密、内部知识点交织复杂的书籍更是难以掌控，除了要能统领此领域内各技术细节外，还要有一种不为功利、默默耕耘的精神追求，这在当前国内的技术领域内是非常宝贵且罕见的。

然而缘分是个奇怪的东西，经过我一位挚友的介绍，后来有幸能与铭霖兄相识，我们初见便促膝长谈了近6个小时，至今铭霖兄那谈到内核编程话题时滔滔不绝的样子仍历历在目。

在我们谈到要出版的新著作时，其实我内心是有所疑虑的，虽然铭霖兄有过出版经历，并且在腾讯、深信服科技等顶级安全实验室的多年工作中积累了大量的宝贵经验，但当时铭霖兄也正值创业初期，如何能在繁忙且高压的创业工作之余照顾好家人，还要再安排出如此巨大的精力去沉淀梳理自己的所思所想？我不由得替铭霖兄默默担忧。

而一切忧虑在铭霖兄邀请我查看其书稿时瞬间烟消云散，当我看到这本600余页的“大部头”时，不由得替铭霖兄高兴，也不由得替国内的内核开发从业者们高兴。

这是一本从初学者角度出发，以内核安全高度为终点的书，本书从最基本的Windows内核级基本概念开始介绍，只要读者具备C语言基础就可以读懂，并在第二篇中由易到难地介绍了各种内核编程中的过滤技术，最后拔高到内核安全，不夸张地说，如果读者想要学习Windows内核安全，有这本书基本就够了。

随着网络空间安全的逐步发展以及对个人隐私的逐步重视，这几年略微降温的内核编程在个人隐私保护以及防泄密等领域渐渐升温，内核编程即将迎来第二春，而这本书不失为各位读者把握住这一技术潮流的最有利武器。

最后，在有幸作序之余，祝愿这本书能有更多的读者，能有更多的认可，能发挥更多的价值，希望这本书能成为国内Windows内核编程的经典著作。

任晓珲

十五派信息安全教育创始人

《黑客免杀攻防》作者

黑客反病毒组织创始人

2019年11月

前 言

Windows是当前主流的闭源操作系统，从第一个NT内核的Windows 2000至今，已经有20年左右的历史，在这漫长的20年内，为了满足日益变化的业务需求，以及应对不断升级的安全挑战，Windows操作系统内核一直不断升级与完善，其主要表现是内核中增加了新的逻辑模块与安全机制，其中最为典型的是64位的Windows操作系统内核对比32位内核增加了“PatchGuard”模块，这个模块的主要作用是检查内核是否被第三方内核模块“污染”，目的是防止病毒木马使用内核挂钩或劫持的技术篡改内核。新的安全机制往往会对安全开发者带来一定的影响，其原因是一些软件过度依赖系统未公开的底层技术，而正确的做法是开发者需紧密依赖系统提供的公开机制，利用可利用的机制完成相同的功能，这要求开发者对整个Windows内核机制有深入的理解，作者编写本书的目的之一，正是希望读者能对Windows内核有更全面、更深入的认识。

本书的前身是《Windows内核编程与驱动开发》，本书在前者的基础上，删除了部分过时章节，重写了大部分基础章节并新增了部分当前较为热门的技术章节，同时为了使本书内容更为聚焦，删除了与Windows内核关联性不强的内容。

本书面向的人群主要有以下几类。

? 有一定C语言基础，有兴趣了解Windows内核的读者。

? 有一定C语言基础，并且希望从事Windows内核开发的读者。

? 有一定基础的Windows内核开发者，有意愿进一步提高的读者。

本书共分为三部分。第一部分，从初学者的角度出发，介绍Windows内核的基本概念、开发环境的搭建、系统机制以及内核编程的技巧；其中，第1章与第2章是本书最为基础的部分，介绍了内核编程的基本概念与开发环境搭建，初学者应该首先学习这部分内容。第3～5章重点介绍了系统的常用机制，这些机制的使用会贯穿本书所有章节，掌握这些常用机制是内核开发者最基本的要求。第6章介绍了内核编程的注意事项与技巧，这些注意事项与技巧可以帮助初学者少走弯路，快速入门。

第二篇为过滤篇，是本书的核心内容，分别详细介绍了Windows系统的过滤机制。首先以最简单的串口过滤驱动开始，剖析了一个过滤驱动的最基本要素，然后分别介绍了键盘过滤、磁盘过滤、文件过滤以及网络过滤，由易到难；对于网络过滤，本篇从不同的网络层次与角度介绍了TDI、WFP以及NDIS等机制。本篇内容涵盖了目前Windows系统绝大部分主流的过滤技术。

第三篇为应用篇，结合前面两篇的知识点，本篇综合介绍了Windows安全领域所需的其他技术，通过对本篇的学习，读者将会发现安全技术并不局限于系统提供的现成机制。本篇选取了目前主流安全软件所使用到的典型技术，深入浅出，首先介绍了CPU的基本知识点，然后基于上述知识点，第20章重点介绍了Windows下的挂钩技术，挂钩技术常被用于安全软件的检测、审计、拦截等技术；第22章与第23章从守护的角度，为读者介绍了自我保护技术。

笔者拥有十余年的Windows开发经验，主导过数据安全、主机安全、服务器安全等项目，涉及to C（面向消费者群体）和to B（面向企业用户群体）行业，深知Windows内核的复杂性，由于行业的特殊环境，to C和to B的内核技术方案选型不尽相同，因为不同的用户群体，其主机上软件存在参差不齐的同类安全软件，安全软件之间也存在大量的兼容性问题，这些问题的引入使得原本并不简单的内核编程更为复杂化。记得有很多读者问过我一个相同的问题：如何编写一个稳定的内核模块。这个问题其实没有标准答案，从笔者的经验来看，读者首先应该养成良好的编程习惯，然后深入理解系统的各种安全机制以及拦截方法，在编写代码时候，请思考如下几个问题：①这句代码是否会被其他软件拦截导致失败；②这句代码是否会触发一些第三方的回调函数；③这句代码失败后应该怎么处理。本书在为读者介绍技术的同时，也为读者介绍了笔者的内核开发心得体会与技巧，希望这些体会与技巧可以为读者带来更多的思考。内核编程类似于武林秘籍的内功修炼，需要时间沉淀，并非一蹴而就，请读者赋予更多的耐心，“成功之道，贵在坚持”。

技术书籍写作的工作量巨大而繁杂，在整个写作过程中，要感谢安全圈内朋友的支持，尤其感谢数篷科技的科学家吴烨以及CTO杨一飞、架构师王柏达，他们在工作中为我提供了大量的帮助，使得本书能顺利出版。感谢我的父母、妻子、女儿以及其他家人，在每天有限的时间里，需要花费更多的精力在写作上而缺少对他们的陪伴，尤其是我的女儿，在深感愧疚的同时，也感谢他们的理解与支持；感谢上一本书籍的热心读者，他们反馈的问题更好地完善了本书内容。最后，希望本书能为安全圈内的读者或者即将进入安全圈的读者带来更大的收获。

陈铭霖

2019年11月于深圳

本书的作者和贡献者

本书的前身是《Windows内核安全与驱动开发》，除了直接编写本书的作者外，也有业内技术人士协同编写了部分章节，所有作者一并介绍如下：

谭文，网名楚狂人，已有十七年客户端安全软件开发经验。先后在NEC、英特尔亚太研发有限公司、腾讯科技任职。曾经从事过企业安全软件、x86版Android的houdini项目、腾讯电脑管家、腾讯游戏安全等开发工作。对Windows内核有深入的研究，现任腾讯科技游戏安全团队驱动程序开发负责人，专家工程师。指导本书主题思想，编写了核心过滤章节，并审核了所有新章节。

陈铭霖，现任职数篷科技终端安全负责人，负责终端安全开发，之前曾任腾讯科技高级工程师，主导腾讯电脑管家客户端安全项目也曾任深信服科技Windows架构师以及虚拟化产品架构师。有十余年终端安全开发经验，覆盖to C、to B及to G行业，并具有千万级DAU安全产品的研发经验。主导了全书内容，重写了大部分章节，新增了部分章节。

张佩，Windows驱动开发技术专家，长期从事声卡、显卡等硬件驱动程序的开发、调试工作。目前在英特尔亚太研发有限公司平板电脑相关部门工作。曾著有《竹林蹊径——深入浅出Windows驱动开发》一书。为本书贡献了若干个网络驱动相关的章节。

杨潇，曾任Windows客户端安全工程师，先后在上海贝尔和北京Comodo工作。后来离职创业，目前为西安一家医疗科技公司的CEO。编写了本书磁盘驱动相关章节。

邵坚磊，网名wowocock，业内著名的Windows安全技术专家。长期从事Windows安全相关的内核开发工作。目前在奇虎360任职。编写了本书部分章节并提供了部分代码实例。

卢冠豪，中国台湾人。毕业于辅仁大学资讯工程学系。长期从事C、C++、网络与通信程序设计工作，参与过“端点安全”“资产管理”“网络流量分析”等项目的开发与维护，擅长Windows项目开发。编写了本书文件系统微端口过滤一章。

本书读者反馈的QQ群是4088102，想了解更多信息也可以关注微信订阅号：终端安全编程。

目 录



第1篇 基础篇
第1章 内核编程环境 002
1．1 下载开发编译环境 002
1．1．1 编译环境介绍 002
1．1．2 下载Visual Studio与WDK 004
1．2 编写第一个C文件 006
1．2．1 通过Visual Studio新建工程 006
1．2．2 内核入口函数 007
1．2．3 编写入口函数体 008
1．3 编译第一个驱动 010
1．3．1 通过Visual Studio编译 010
1．3．2 通过WDK直接编译 011
第2章 内核驱动运行与调试 013
2．1 驱动的运行 013
2．2 服务的基本操作 015
2．2．1 打开服务管理器 015
2．2．2 服务的注册 016
2．2．3 服务的启动与停止 018
2．2．4 服务的删除 019
2．2．5 服务的例子 020
2．2．6 服务小结 022
2．3 驱动的调试 022
2．3．1 基于VS+WDK环境调试 022
2．3．2 基于Windbg调试 026
第3章 内核编程基础 029
3．1 上下文环境 029
3．2 中断请求级别 031
3．3 驱动异常 033
3．4 字符串操作 034
3．5 链表 036
3．5．1 头节点初始化 038
3．5．2 节点插入 038
3．5．3 链表遍历 039
3．5．4 节点移除 040
3．6 自旋锁 040
3．6．1 使用自旋锁 040
3．6．2 在双向链表中使用自旋锁 041
3．6．3 使用队列自旋锁提高性能 042
3．7 内存分配 043
3．7．1 常规内存分配 043
3．7．2 旁视列表 045
3．8 对象与句柄 049
3．9 注册表 054
3．9．1 注册表的打开与关闭 054
3．9．2 注册表的修改 056
3．9．3 注册表的读取 057
3．10 文件操作 060
3．10．1 文件的打开与关闭 060
3．10．2 文件的读写 063
3．11 线程与事件 066
3．11．1 使用系统线程 066
3．11．2 使用同步事件 067
第4章 应用与内核通信 070
4．1 内核方面的编程 071
4．1．1 生成控制设备 071
4．1．2 控制设备的名字和符号链接 073
4．1．3 控制设备的删除 074
4．1．4 分发函数 074
4．1．5 请求的处理 076
4．2 应用方面的编程 077
4．2．1 基本的功能需求 077
4．2．2 在应用程序中打开与关闭设备 077
4．2．3 设备控制请求 078
4．2．4 内核中的对应处理 080
4．2．5 结合测试的效果 082
第5章 64位和32位内核开发差异 083
5．1 64位系统新增机制 083
5．1．1 WOW64子系统 083
5．1．2 PatchGuard技术 086
5．1．3 64位驱动的编译、安装与运行 086
5．2 编程差异 087
5．2．1 汇编嵌入变化 087
5．2．2 预处理与条件编译 088
5．2．3 数据结构调整 088
第6章 内核编程技巧 090
6．1 初始化赋值问题 090
6．2 有效性判断 091
6．3 一次性申请 092
6．4 独立性与最小化原则 095
6．5 嵌套陷阱 097
6．6 稳定性处理 098
6．6．1 事前处理 098
6．6．2 事中处理 100
6．6．3 事后处理 104
第2篇 过滤篇
第7章 串口的过滤 106
7．1 过滤的概念 106
7．1．1 设备绑定的内核API之一 106
7．1．2 设备绑定的内核API之二 107
7．1．3 生成过滤设备并绑定 108
7．1．4 从名字获得设备对象 110
7．1．5 绑定所有串口 111
7．2 获得实际数据 112
7．2．1 请求的区分 112
7．2．2 请求的结局 113
7．2．3 写请求的数据 114
7．3 完整的代码 114
7．3．1 完整的分发函数 114
7．3．2 如何动态卸载 116
7．3．3 代码的编译与运行 117
第8章 键盘的过滤 119
8．1 技术原理 120
8．1．1 预备知识 120
8．1．2 Windows中从击键到内核 120
8．1．3 键盘硬件原理 122
8．2 键盘过滤的框架 122
8．2．1 找到所有的键盘设备 122
8．2．2 应用设备扩展 125
8．2．3 键盘过滤模块的DriverEntry 127
8．2．4 键盘过滤模块的动态卸载 127
8．3 键盘过滤的请求处理 129
8．3．1 通常的处理 129
8．3．2 PNP的处理 130
8．3．3 读的处理 131
8．3．4 读完成的处理 132
8．4 从请求中打印出按键信息 133
8．4．1 从缓冲区中获得KEYBOARD_
INPUT_DATA 133
8．4．2 从KEYBOARD_INPUT_DATA
中得到键 134
8．4．3 从MakeCode到实际字符 134
8．5 Hook分发函数 136
8．5．1 获得类驱动对象 136
8．5．2 修改类驱动的分发函数指针 137
8．5．3 类驱动之下的端口驱动 138
8．5．4 端口驱动和类驱动之间的
协作机制 139
8．5．5 找到关键的回调函数的条件 140
8．5．6 定义常数和数据结构 140
8．5．7 打开两种键盘端口驱动
寻找设备 141
8．5．8 搜索在KbdClass类驱动中的
地址 143
8．6 Hook键盘中断反过滤 145
8．6．1 中断：IRQ和INT 146
8．6．2 如何修改IDT 147
8．6．3 替换IDT中的跳转地址 148
8．6．4 QQ的PS/2反过滤措施 149
8．7 直接用端口操作键盘 150
8．7．1 读取键盘数据和命令端口 150
8．7．2 p2cUserFilter的最终实现 151
第9章 磁盘的虚拟 153
9．1 虚拟的磁盘 153
9．2 一个具体的例子 153
9．3 入口函数 154
9．3．1 入口函数的定义 154
9．3．2 Ramdisk驱动的入口函数 155
9．4 EvtDriverDeviceAdd函数 156
9．4．1 EvtDriverDeviceAdd的定义 156
9．4．2 局部变量的声明 157
9．4．3 磁盘设备的创建 157
9．4．4 如何处理发往设备的请求 158
9．4．5 用户配置的初始化 160
9．4．6 链接给应用程序 161
9．5 FAT12/16磁盘卷初始化 163
9．5．1 磁盘卷结构简介 163
9．5．2 Ramdisk对磁盘的初始化 164
9．6 驱动中的请求处理 170
9．6．1 请求的处理 170
9．6．2 读/写请求 171
9．6．3 DeviceIoControl请求 172
9．7 Ramdisk的编译和安装 175
9．7．1 编译 175
9．7．2 安装 175
9．7．3 对安装的深入探究 175
第10章 磁盘的过滤 177
10．1 磁盘过滤驱动的概念 177
10．1．1 设备过滤和类过滤 177
10．1．2 磁盘设备和磁盘卷设备
过滤驱动 177
10．1．3 注册表和磁盘卷设备过滤
驱动 178
10．2 具有还原功能的磁盘卷过滤驱动 178
10．2．1 简介 178
10．2．2 基本思想 179
10．3 驱动分析 179
10．3．1 DriverEntry函数 179
10．3．2 AddDevice函数 180
10．3．3 PnP请求的处理 184
10．3．4 Power请求的处理 188
10．3．5 DeviceIoControl请求的处理 189
10．3．6 bitmap的作用和分析 192
10．3．7 boot驱动完成回调函数和
稀疏文件 198
10．3．8 读/写请求的处理 200
第11章 文件系统的过滤与监控 209
11．1 文件系统的设备对象 210
11．1．1 控制设备与卷设备 210
11．1．2 生成自己的一个控制设备 211
11．2 文件系统的分发函数 212
11．2．1 普通的分发函数 212
11．2．2 文件过滤的快速IO分发函数 213
11．2．3 快速IO分发函数的一个实现 215
11．2．4 快速IO分发函数逐个简介 216
11．3 设备的绑定前期工作 217
11．3．1 动态地选择绑定函数 217
11．3．2 注册文件系统变动回调 219
11．3．3 文件系统变动回调的一个
实现 220
11．3．4 文件系统识别器 221
11．4 文件系统控制设备的绑定 222
11．4．1 生成文件系统控制设备的
过滤设备 222
11．4．2 绑定文件系统控制设备 223
11．4．3 利用文件系统控制请求 225
11．5 文件系统卷设备的绑定 227
11．5．1 从IRP中获得VPB指针 227
11．5．2 设置完成函数并等待IRP
完成 228
11．5．3 卷挂载IRP完成后的工作 231
11．5．4 完成函数的相应实现 233
11．5．5 绑定卷的实现 234
11．6 读/写操作的过滤 236
11．6．1 设置一个读处理函数 236
11．6．2 设备对象的区分处理 237
11．6．3 解析读请求中的文件信息 238
11．6．4 读请求的完成 241
11．7 其他操作的过滤 244
11．7．1 文件对象的生存周期 244
11．7．2 文件的打开与关闭 245
11．7．3 文件的删除 247
11．8 路径过滤的实现 248
11．8．1 取得文件路径的三种情况 248
11．8．2 打开成功后获取路径 249
11．8．3 在其他时刻获得文件路径 250
11．8．4 在打开请求完成之前获得
路径名 251
11．8．5 把短名转换为长名 253
11．9 把sfilter编译成静态库 254
11．9．1 如何方便地使用sfilter 254
11．9．2 初始化回调、卸载回调和
绑定回调 254
11．9．3 绑定与回调 256
11．9．4 插入请求回调 257
11．9．5 如何利用sfilter．lib 259
第12章 文件系统透明加密 263
12．1 文件透明加密的应用 263
12．1．1 防止企业信息泄密 263
12．1．2 文件透明加密防止企业信息
泄密 263
12．1．3 文件透明加密软件的例子 264
12．2 区分进程 265
12．2．1 机密进程与普通进程 265
12．2．2 找到进程名字的位置 266
12．2．3 得到当前进程的名字 267
12．3 内存映射与文件缓冲 268
12．3．1 记事本的内存映射文件 268
12．3．2 Windows的文件缓冲 269
12．3．3 文件缓冲：明文还是密文的
选择 270
12．3．4 清除文件缓冲 271
12．4 加密标识 274
12．4．1 保存在文件外、文件头还是
文件尾 274
12．4．2 隐藏文件头的大小 275
12．4．3 隐藏文件头的设置偏移 277
12．4．4 隐藏文件头的读/写偏移 277
12．5 文件加密表 278
12．5．1 何时进行加密操作 278
12．5．2 文件控制块与文件对象 279
12．5．3 文件加密表的数据结构与
初始化 280
12．5．4 文件加密表的操作：查询 281
12．5．5 文件加密表的操作：添加 282
12．5．6 文件加密表的操作：删除 283
12．6 文件打开处理 284
12．6．1 直接发送IRP进行查询与
设置操作 285
12．6．2 直接发送IRP进行读/写操作 287
12．6．3 文件的非重入打开 288
12．6．4 文件的打开预处理 291
12．7 读/写加密和解密 296
12．7．1 在读取时进行解密 296
12．7．2 分配与释放MDL 297
12．7．3 写请求加密 298
12．8 crypt_file的组装 300
12．8．1 crypt_file的初始化 300
12．8．2 crypt_file的IRP预处理 301
12．8．3 crypt_file的IRP后处理 304
第13章 文件系统微过滤驱动 308
13．1 文件系统微过滤驱动简介 308
13．1．1 文件系统微过滤驱动的由来 308
13．1．2 Minifilter的优点与不足 309
13．2 Minifilter的编程框架 309
13．2．1 微文件系统过滤的注册 310
13．2．2 微过滤器的数据结构 311
13．2．3 卸载回调函数 314
13．2．4 预操作回调函数 314
13．2．5 后操作回调函数 317
13．2．6 其他回调函数 318
13．3 Minifilter如何与应用程序通信 320
13．3．1 建立通信端口的方法 320
13．3．2 在用户态通过DLL使用通信
端口的范例 322
13．4 Minifilter的安装与加载 325
13．4．1 安装Minifilter的INF文件 325
13．4．2 启动安装完成的Minifilter 326
第14章 网络传输层过滤 328
14．1 TDI概要 328
14．1．1 为何选择TDI 328
14．1．2 从socket到Windows内核 329
14．1．3 TDI过滤的代码例子 330
14．2 TDI的过滤框架 330
14．2．1 绑定TDI的设备 330
14．2．2 唯一的分发函数 331
14．2．3 过滤框架的实现 333
14．2．4 主要过滤的请求类型 335
14．3 生成请求：获取地址 336
14．3．1 过滤生成请求 336
14．3．2 准备解析IP地址与端口 337
14．3．3 获取生成的IP地址和端口 338
14．3．4 连接终端的生成与相关信息
的保存 340
14．4 控制请求 341
14．4．1 TDI_ASSOCIATE_ADDRESS
的过滤 341
14．4．2 TDI_CONNECT的过滤 343
14．4．3 其他的次功能号 344
14．4．4 设置事件的过滤 345
14．4．5 TDI_EVENT_CONNECT类型
的设置事件的过滤 346
14．4．6 直接获取发送函数的过滤 348
14．4．7 清理请求的过滤 350
14．5 本书例子tdifw．lib的应用 351
14．5．1 tdifw库的回调接口 351
14．5．2 tdifw库的使用例子 353
第15章 Windows过滤平台 355
15．1 WFP简介 355
15．2 WFP框架 355
15．3 基本对象模型 357
15．3．1 过滤引擎 357
15．3．2 垫片 357
15．3．3 呼出接口 357
15．3．4 分层 358
15．3．5 子层 359
15．3．6 过滤器 360
15．3．7 呼出接口回调函数 364
15．4 WFP操作 369
15．4．1 呼出接口的注册与卸载 369
15．4．2 呼出接口的添加与移除 370
15．4．3 子层的添加与移除 371
15．4．4 过滤器的添加 372
15．5 WFP过滤例子 372
第16章 NDIS协议驱动 380
16．1 以太网包和网络驱动架构 380
16．1．1 以太网包和协议驱动 380
16．1．2 NDIS网络驱动 381
16．2 协议驱动的DriverEntry 382
16．2．1 生成控制设备 382
16．2．2 注册协议 383
16．3 协议与网卡的绑定 385
16．3．1 协议与网卡的绑定概念 385
16．3．2 绑定回调处理的实现 386
16．3．3 协议绑定网卡的API 388
16．3．4 解决绑定竞争问题 389
16．3．5 分配接收和发送的包池与
缓冲池 390
16．3．6 OID请求的发送和请求
完成回调 391
16．3．7 ndisprotCreateBinding的
最终实现 395
16．4 绑定的解除 400
16．4．1 解除绑定使用的API 400
16．4．2 ndisprotShutdownBinding的
实现 402
16．5 在用户态操作协议驱动 405
16．5．1 协议的收包与发包 405
16．5．2 在用户态编程打开设备 405
16．5．3 用DeviceIoControl发送
控制请求 407
16．5．4 用WriteFile发送数据包 409
16．5．5 用ReadFile发送数据包 410
16．6 在内核态完成功能的实现 412
16．6．1 请求的分发与实现 412
16．6．2 等待设备绑定完成与指定
设备名 412
16．6．3 指派设备的完成 413
16．6．4 处理读请求 416
16．6．5 处理写请求 418
16．7 协议驱动的接收回调 422
16．7．1 和接收包有关的回调函数 422
16．7．2 ReceiveHandler的实现 423
16．7．3 TransferDataCompleteHandler
的实现 427
16．7．4 ReceivePacketHandler的实现 428
16．7．5 接收数据包的入队 430
16．7．6 接收数据包的出队和读请求
的完成 432
第17章 NDIS小端口驱动 437
17．1 小端口驱动的应用与概述 437
17．1．1 小端口驱动的应用 437
17．1．2 小端口驱动示例 438
17．1．3 小端口驱动的运作与编程
概述 438
17．2 小端口驱动的初始化 439
17．2．1 小端口驱动的DriverEntry 439
17．2．2 小端口驱动的适配器结构 441
17．2．3 配置信息的读取 442
17．2．4 设置小端口适配器上下文 443
17．2．5 MPInitialize的实现 444
17．2．6 MPHalt的实现 447
17．3 打开ndisprot设备 447
17．3．1 IO目标 447
17．3．2 给IO目标发送DeviceIoControl
请求 449
17．3．3 打开ndisprot接口并完成
配置设备 451
17．4 使用ndisprot发送包 453
17．4．1 小端口驱动的发包接口 453
17．4．2 发送控制块（TCB） 454
17．4．3 遍历包组并填写TCB 456
17．4．4 写请求的构建与发送 458
17．5 使用ndisprot接收包 461
17．5．1 提交数据包的内核API 461
17．5．2 从接收控制块（RCB）
提交包 462
17．5．3 对ndisprot读请求的完成
函数 463
17．5．4 读请求的发送 466
17．5．5 用于读包的WDF工作任务 467
17．5．6 ndisedge读工作任务的生成
与入列 469
17．6 其他的特征回调函数的实现 471
17．6．1 包的归还 471
17．6．2 OID查询处理的直接完成 472
17．6．3 OID设置处理 475
第18章 NDIS中间层驱动 477
18．1 NDIS中间层驱动概述 477
18．1．1 Windows网络架构总结 477
18．1．2 NDIS中间层驱动简介 478
18．1．3 NDIS中间层驱动的应用 479
18．1．4 NDIS包描述符结构深究 480
18．2 中间层驱动的入口与绑定 483
18．2．1 中间层驱动的入口函数 483
18．2．2 动态绑定NIC设备 483
18．2．3 小端口初始化（MpInitialize） 485
18．3 中间层驱动发送数据包 486
18．3．1 发送数据包原理 486
18．3．2 包描述符“重利用” 488
18．3．3 包描述符“重申请” 490
18．3．4 发送数据包的异步完成 492
18．4 中间层驱动接收数据包 494
18．4．1 接收数据包概述 494
18．4．2 用PtReceive接收数据包 494
18．4．3 用PtReceivePacket接收 499
18．4．4 对包进行过滤 501
18．5 中间层驱动程序查询和设置 504
18．5．1 查询请求的处理 504
18．5．2 设置请求的处理 506
18．6 NDIS句柄 507
18．6．1 不可见的结构指针 507
18．6．2 常见的NDIS句柄 508
18．6．3 NDIS句柄误用问题 510
18．6．4 一种解决方案 512
18．7 生成普通控制设备 512
18．7．1 在中间层驱动中添加普通设备 512
18．7．2 使用传统方法来生成控制设备 515
第3篇 应用篇
第19章 IA-32汇编基础 522
19．1 x86内存、寄存器与堆栈 522
19．1．1 _asm关键字 522
19．1．2 x86中的mov指令 523
19．1．3 x86中的寄存器与内存 523
19．1．4 赋值语句的实现 524
19．2 x86中函数的实现 525
19．2．1 一个函数的例子 525
19．2．2 堆栈的介绍 526
19．2．3 寄存器的备份和恢复 527
19．2．4 内部变量与返回值 529
19．3 x86中函数的调用与返回 531
19．3．1 函数的调用指令call 531
19．3．2 通过堆栈传递参数 532
19．3．3 从函数返回 533
19．3．4 三种常见的调用协议 535
19．4 从32位汇编到64位汇编 536
19．4．1 Intel 64与IA-32体系
架构简介 536
19．4．2 64位指令与32位指令 536
19．4．3 通用寄存器 537
19．5 64位下的函数实现 538
19．5．1 函数概览 538
19．5．2 32位参数的传递 539
19．5．3 64位参数与返回值 540
19．5．4 栈空间的开辟与恢复 541
第20章 Windows内核挂钩 544
20．1 系统服务描述符表挂钩 545
20．1．1 系统服务描述符表（SSDT） 545
20．1．2 系统服务描述符表挂钩的意图 546
20．1．3 寻找要挂钩的函数的地址 547
20．1．4 函数被挂钩的过程 548
20．1．5 具体实现的代码 549
20．2 函数导出表挂钩 551
20．2．1 内核函数的种类 551
20．2．2 挂钩IoCallDriver 553
20．2．3 对跳转地址进行修改 554
20．3 Windows 7系统下IofCallDriver的
跟踪 555
20．4 Windows 7系统下内联挂钩 558
20．4．1 写入跳转指令并拷贝代码 558
20．4．2 实现中继函数 560
20．5 中断与中断挂钩 562
20．5．1 IA-32体系结构中的中断 562
20．5．2 中断处理过程 563
20．5．3 64位模式下的中断处理机制 564
20．5．4 多核下的中断 565
20．5．5 Windows中断机制 570
20．5．6 IDT Hook 573
20．5．7 IDT Hook实现安全防护 574
第21章 Windows通知与回调 577
21．1 Windows的事件通知与回调 577
21．2 常用的事件通知 577
21．2．1 创建进程通知 578
21．2．2 创建线程通知 582
21．2．3 加载模块通知 583
21．2．4 注册表操作通知 586
21．3 Windows回调机制 592
21．3．1 回调对象 593
21．3．2 回调对象的创建 593
21．3．3 回调对象的注册 594
21．3．4 回调的通告 595
21．4 安全的死角，回调的应用 595
第22章 保护进程 597
22．1 内核对象简介 597
22．2 内核对象的结构 598
22．3 保护内核对象 599
22．3．1 处理对象的打开 600
22．3．2 处理句柄的复制 601
22．3．3 处理句柄的继承 603
22．4 进程的保护 609
22．4．1 保护原理 609
22．4．2 Vista以后的进程对象保护 611
22．4．3 进程的其他保护 612
第23章 代码注入与防注入 613
23．1 注入与防注入简介 613
23．2 常用的注入方式 614
23．3 主动注入 614
23．3．1 AppInit注入 615
23．3．2 SPI注入 618
23．3．3 消息事件注入 620
23．3．4 其他注入 621
23．4 被动注入 621
23．4．1 远线程注入 621
23．4．2 APC注入 622
23．4．3 父子进程注入 623
23．5 防注入 624
23．5．1 防止主动注入 624
23．5．2 防止被动注入 629
23．6 总结 630
附录A 如何使用本书的源码 631
附录B 练习题 634