《Windows内核编程》

第1篇基础篇2

第1章内核编程环境2

1.1下载开发编译环境2

1.1.1编译环境介绍2

1.1.2下载Visual Studio与WDK4

1.2编写第一个C文件6

1.2.1通过Visual Studio新建工程6

2.2内核入口函数7

1.2.3编写入口函数体8

1.3编译第一个驱动10

1.3.1通过Visual Studio编译10

1.3.2通过WDK直接编译11

第2章内核驱动运行与调试13

2.1驱动的运行13

2.2服务的基本操作15

2.2.1打开服务管理器15

2.2.2服务的注册16

2.2.3服务的启动与停止18

2.2.4服务的删除19

2.2.5服务的例子20

2.2.6服务小结22

2.3驱动的调试22

2.3.1基于VS+WDK环境调试22

2.3.2基于W indbg调试26

第3章内核编程基础29

3.1上下文环境29

3.2中断请求级别31

3.3驱动异常33

3.4字符串操作34

3.5链表36

3.5.1头节点初始化38

3.5.2节点插入38

3.5.3链表遍历39

3.5.4节点移除40

3.6自旋锁40

3.6.1使用自旋锁40

3.6.2在双向链表中使用自旋锁41

3.6.3使用队列自旋锁提高性能42

3.7内存分配43

3.7.1常规内存分配43

3.7.2旁视列表45

3.8对象与句柄49

3.9注册表54

3.9.1注册表的打开与关闭54

3.9.2注册表的修改56

3.9.3注册表的读取57

3.10文件操作60

3.10.1文件的打开与关闭60

3.10.2文件的读写63

3.11线程与事件66

3.11.1使用系统线程66

3.11.2使用同步事件67

第4章应用与内核通信70

4.1内核方面的编程71

4.1.1生成控制设备71

4.1.2控制设备的名字和符号链接73

4.1.3控制设备的删除74

4.1.4分发函数74

4.1.5请求的处理76

4.2应用方面的编程77

4.2.1基本的功能需求77

4.2.2在应用程序中打开与关闭设备77

4.2.3设备控制请求78

4.2.4内核中的对应处理80

4.2.5结合测试的效果82

第5章64位和32位内核开发差异83

5.164位系统新增机制83

5.1.1 WOW64子系统83

5.1.2 PatchGuard技术86

5.1.3 64位驱动的编译、安装与运行86

5.2编程差异87

5.2.1汇编嵌入变化87

5.2.2预处理与条件编译88

5.2.3数据结构调整88

第6章内核编程技巧90

6.1初始化赋值问题90

6.2有效性判断91

6.3一次性申请92

6.4独立性与最小化原则95

6.5嵌套陷阱97

6.6稳定性处理98

6.6.1事前处理98

6.6.2事中处理100

6.6.3事后处理104

第2篇过滤篇106

第7章串口的过滤106

7.1过滤的概念106

7.1.1设备绑定的内核API之一106

7.1.2设备绑定的内核API之二107

7.1.3生成过滤设备并绑定108

7.1.4从名字获得设备对象110

7.1.5绑定所有串口111

7.2获得实际数据112

7.2.1请求的区分112

7.2.2请求的结局113

7.2.3写请求的数据114

7.3完整的代码114

7.3.1完整的分发函数114

7.3.2如何动态卸载116

7.3.3代码的编译与运行117

第8章键盘的过滤119

8.1技术原理120

8.1.1预备知识120

8.1.2Windows中从击键到内核120

8.1.3键盘硬件原理122

8.2键盘过滤的框架122

8.2.1找到所有的键盘设备122

8.2.2应用设备扩展125

8.2.3键盘过滤模块的DriverEntry127

8.2.4键盘过滤模块的动态卸载127

8.3键盘过滤的请求处理129

8.3.1通常的处理129

8.3.2PNP的处理130

8.3.3读的处理131

8.3.4读完成的处理132

8.4从请求中打印出按键信息133

8.4.1从缓冲区中获得KEYBOARD INPUT DATA133

8.4.2从KEYBOARD INPUT DATA中得到键134

8.4.3从MakeCode到实际字符134

8.5Hook分发函数136

8.5.1获得类驱动对象136

8.5.2修改类驱动的分发函数指针137

8.5.3类驱动之下的端口驱动138

8.5.4端口驱动和类驱动之间的协作机制139

8.5.5找到关键的回调函数的条件140

8.5.6定义常数和数据结构140

8.5.7打开两种键盘端口驱动寻找设备141

8.5.8搜索在KbdClass类驱动中的地址143

8.6 Hook键盘中断反过滤145

8.6.1中断：IRQ和INT146

8.6.2如何修改IDT147

8.6.3替换IDT中的跳转地址148

8.6.4QQ的PS/2反过滤措施149

8.7直接用端口操作键盘150

8.7.1读取键盘数据和命令端口150

8.7.2p2cUserFilter的最终实现151

第9章磁盘的虚拟153

9.1虚拟的磁盘153

9.2一个具体的例子153

9.3入口函数154

9.3.1入口函数的定义154

9.3.2Ramdisk驱动的入口函数155

9.4EvtDriverDeviceAdd函数156

9.4.1 EvtDriverDeviceAdd的定义156

9.4.2局部变量的声明157

9.4.3磁盘设备的创建157

9.4.4如何处理发往设备的请求158

9.4.5用户配置的初始化160

9.4.6链接给应用程序161

9.5FAT12/16磁盘卷初始化163

9.5.1磁盘卷结构简介163

9.5.2 Ramdisk对磁盘的初始化164

9.6驱动中的请求处理170

9.6.1请求的处理170

9.6.2读/写请求171

9.6.3DeviceIoControl请求172

9.7 Ramdisk的编译和安装175

9.7.1编译175

9.7.2安装175

9.7.3对安装的深入探究175

第10章磁盘的过滤177

10.1磁盘过滤驱动的概念177

10.1.1设备过滤和类过滤177

10.1.2磁盘设备和磁盘卷设备过滤驱动177

10.1.3注册表和磁盘卷设备过滤驱动178

10.2具有还原功能的磁盘卷过滤驱动178

10.2.1简介178

10.2.2基本思想179

10.3驱动分析179

10.3.1DriverEntry函数179

10.3.2 AddDevice函数180

10.3.3 PnP请求的处理184

10.3.4 Power请求的处理188

10.3.5 DeviceIoControl请求的处理189

10.3.6 bitmap的作用和分析192

10.3.7 boot驱动完成回调函数和稀疏文件198

10.3.8读/写请求的处理200

第11章文件系统的过滤与监控209

11.1文件系统的设备对象210

11.1.1控制设备与卷设备210

11.1.2生成自己的一个控制设备211

11.2文件系统的分发函数212

11.2.1普通的分发函数212

11.2.2文件过滤的快速IO分发函数213

11.2.3快速IO分发函数的一个实现215

11.2.4快速IO分发函数逐个简介216

11.3设备的绑定前期工作217

11.3.1动态地选择绑定函数217

11.3.2注册文件系统变动回调219

11.3.3文件系统变动回调的一个实现220

11.3.4文件系统识别器221

11.4文件系统控制设备的绑定222

11.4.1生成文件系统控制设备的过滤设备222

11.4.2绑定文件系统控制设备223

11.4.3利用文件系统控制请求225

11.5文件系统卷设备的绑定227

11.5.1从IRP中获得VPB指针227

11.5.2设置完成函数并等待IRP完成228

11.5.3卷挂载IRP完成后的工作231

11.5.4完成函数的相应实现233

11.5.5绑定卷的实现234

11.6读/写操作的过滤236

11.6.1设置一个读处理函数236

11.6.2设备对象的区分处理237

11.6.3解析读请求中的文件信息238

11.6.4读请求的完成241

11.7其他操作的过滤244

11.7.1文件对象的生存周期244

11.7.2文件的打开与关闭245

11.7.3文件的删除247

11.8路径过滤的实现248

11.8.1取得文件路径的三种情况248

11.8.2打开成功后获取路径249

11.8.3在其他时刻获得文件路径250

11.8.4在打开请求完成之前获得路径名251

11.8.5把短名转换为长名253

11.9把sfilter编译成静态库254

11.9.1如何方便地使用sfilter254

11.9.2初始化回调、卸载回调和绑定回调254

11.9.3绑定与回调256

11.9.4插入请求回调257

11.9.5如何利用sfilter.lib259

第12章文件系统透明加密263

12.1文件透明加密的应用263

12.1.1防止企业信息泄密263

12.1.2文件透明加密防止企业信息泄密263

12.1.3文件透明加密软件的例子264

12.2区分进程265

12.2.1机密进程与普通进程265

12.2.2找到进程名字的位置266

12.2.3得到当前进程的名字267

12.3内存映射与文件缓冲268

12.3.1记事本的内存映射文件268

12.3.2Windows的文件缓冲269

12.3.3文件缓冲：明文还是密文的选择270

12.3.4清除文件缓冲271

12.4加密标识274

12.4.1保存在文件外、文件头还是文件尾274

12.4.2隐藏文件头的大小275

12.4.3隐藏文件头的设置偏移277

12.4.4隐藏文件头的读/写偏移277

12.5文件加密表278

12.5.1何时进行加密操作278

12.5.2文件控制块与文件对象279

12.5.3文件加密表的数据结构与初始化280

12.5.4文件加密表的操作：查询281

12.5.5文件加密表的操作：添加282

12.5.6文件加密表的操作：删除283

12.6文件打开处理284

12.6.1直接发送I RP进行查询与设置操作285

12.6.2直接发送IRP进行读/写操作287

12.6.3文件的非重入打开288

12.6.4文件的打开预处理291

12.7读/写加密和解密296

12.7.1在读取时进行解密296

12.7.2分配与释放MDL297

12.7.3写请求加密298

12.8crypt_file的组装300

12.8.1 crypt file的初始化300

12.8.2 crypt file的IRP预处理301

12.8.3 crypt_file的IRP后处理304

第13章文件系统微过滤驱动308

13.1文件系统微过滤驱动简介308

13.1.1文件系统微过滤驱动的由来308

13.1.2Minifilter的优点与不足309

13.2Minifilter的编程框架309

13.2.1微文件系统过滤的注册310

13.2.2微过滤器的数据结构311

13.2.3卸载回调函数314

13.2.4预操作回调函数314

13.2.5后操作回调函数317

13.2.6其他回调函数318

13.3Minifilter如何与应用程序通信320

13.3.1建立通信端口的方法320

13.3.2在用户态通过DLL使用通信端口的范例322

13.4Minifilter的安装与加载325

13.4.1安装Minifilter的INF文件325

13.4.2启动安装完成的Minifilter326

第14章网络传输层过滤328

14.1TDI概要328

14.1.1为何选择TDI328

14.1.2从socket到Windows内核329

14.1.3 TDI过滤的代码例子330

14.2TDI的过滤框架330

14.2.1绑定TDI的设备330

14.2.2唯一的分发函数331

14.2.3过滤框架的实现333

14.2.4主要过滤的请求类型335

14.3生成请求：获取地址336

14.3.1过滤生成请求336

14.3.2准备解析IP地址与端口337

14.3.3获取生成的IP地址和端口338

14.3.4连接终端的生成与相关信息的保存340

14.4控制请求341

14.4.1TDI ASSOCIATE ADDRESS的过滤341

14.4.2 TDI CONNECT的过滤343

14.4.3其他的次功能号344

14.4.4设置事件的过滤345

14.4.5 TDI EVENT CONNECT类型的设置事件的过滤346

14.4.6直接获取发送函数的过滤348

14.4.7清理请求的过滤350

14.5本书例子tdifw.lib的应用351

14.5.1tdifw库的回调接口351

14.5.2 tdifw库的使用例子353

第15章Windows过滤平台355

15.1 WFP简介355

15.2 WFP框架355

15.3基本对象模型357

15.3.1过滤引擎357

15.3.2垫片357

15.3.3呼出接口357

15.3.4分层358

15.3.5子层359

15.3.6过滤器360

15.3.7呼出接口回调函数364

15.4WFP操作369

15.4.1呼出接口的注册与卸载369

15.4.2呼出接口的添加与移除370

15.4.3子层的添加与移除371

15.4.4过滤器的添加372

15.5 WFP过滤例子372

第16章NDIS协议驱动380

16.1以太网包和网络驱动架构380

16.1.1以太网包和协议驱动380

16.1.2NDIS网络驱动381

16.2协议驱动的DriverEntry382

16.2.1生成控制设备382

16.2.2注册协议383

16.3协议与网卡的绑定385

16.3.1协议与网卡的绑定概念385

16.3.2绑定回调处理的实现386

16.3.3协议绑定网卡的API388

16.3.4解决绑定竞争问题389

16.3.5分配接收和发送的包池与缓冲池390

16.3.6OID请求的发送和请求完成回调391

16.3.7 ndisprotCreateBinding的最终实现395

16.4绑定的解除400

16.4.1解除绑定使用的API400

16.4.2ndisprotShutdownBinding的实现402

16.5在用户态操作协议驱动405

16.5.1协议的收包与发包405

16.5.2在用户态编程打开设备405

16.5.3用DeviceIoControl发送控制请求407

16.5.4用WriteFile发送数据包409

16.5.5用ReadFile发送数据包410

16.6在内核态完成功能的实现412

16.6.1请求的分发与实现412

16.6.2等待设备绑定完成与指定设备名412

16.6.3指派设备的完成413

16.6.4处理读请求416

16.6.5处理写请求418

16.7协议驱动的接收回调422

16.7.1和接收包有关的回调函数422

16.7.2ReceiveHandler的实现423

16.7.3 TransferDataCompleteHandler的实现427

16.7.4 ReceivePacketHandler的实现428

16.7.5接收数据包的入队430

16.7.6接收数据包的出队和读请求的完成432

第17章NDIS小端口驱动437

17.1小端口驱动的应用与概述437

17.1.1小端口驱动的应用437

17.1.2小端口驱动示例438

17.1.3小端口驱动的运作与编程概述438

17.2小端口驱动的初始化439

17.2.1小端口驱动的DriverEntry439

17.2.2小端口驱动的适配器结构441

17.2.3配置信息的读取442

17.2.4设置小端口适配器上下文443

17.2.5MPInitialize的实现444

17.2.6 MPHalt的实现447

17.3打开ndisprot设备447

17.3.1IO目标447

17.3.2给IO目标发送DeviceloControl请求449

17.3.3打开ndisprot接口并完成配置设备451

17.4使用ndisprot发送包453

17.4.1小端口驱动的发包接口453

17.4.2发送控制块（TCB）454

17.4.3遍历包组并填写TCB456

17.4.4写请求的构建与发送458

17.5使用ndi sprot接收包461

17.5.1提交数据包的内核API461

17.5.2从接收控制块（RCB）提交包462

17.5.3对ndisprot读请求的完成函数463

17.5.4读请求的发送466

17.5.5用于读包的WDF工作任务467

17.5.6ndisedge读工作任务的生成与入列469

17.6其他的特征回调函数的实现471

17.6.1包的归还471

17.6.2OID查询处理的直接完成472

17.6.3 OID设置处理475

第18章NDIS中间层驱动477

18.1 NDIS中间层驱动概述477

18.1.1Windows网络架构总结477

18.1.2 NDIS中间层驱动简介478

18.1.3 NDIS中间层驱动的应用479

18.1.4 NDIS包描述符结构深究480

18.2中间层驱动的入口与绑定483

18.2.1中间层驱动的入口函数483

18.2.2动态绑定NIC设备483

18.2.3小端口初始化（MpInitialize）485

18.3中间层驱动发送数据包486

18.3.1发送数据包原理486

18.3.2包描述符“重利用”488

18.3.3包描述符“重申请”490

18.3.4发送数据包的异步完成492

18.4中间层驱动接收数据包494

18.4.1接收数据包概述494

18.4.2用PtReceive接收数据包494

18.4.3用PtReceivePacket接收499

18.4.4对包进行过滤501

18.5中间层驱动程序查询和设置504

18.5.1查询请求的处理504

18.5.2设置请求的处理506

18.6NDIS句柄507

18.6.1不可见的结构指针507

18.6.2常见的NDIS句柄508

18.6.3 NDIS句柄误用问题510

18.6.4一种解决方案512

18.7生成普通控制设备512

18.7.1在中间层驱动中添加普通设备512

18.7.2使用传统方法来生成控制设备515

第3篇应用篇522

第19章IA-32汇编基础522

19.1x86内存、寄存器与堆栈522

19.1.1 asm关键字522

19.1.2 x86中的mov指令523

19.1.3 x86中的寄存器与内存523

19.1.4赋值语句的实现524

19.2x86中函数的实现525

19.2.1一个函数的例子525

19.2.2堆栈的介绍526

19.2.3寄存器的备份和恢复527

19.2.4内部变量与返回值529

19.3x86中函数的调用与返回531

19.3.1函数的调用指令call531

19.3.2通过堆栈传递参数532

19.3.3从函数返回533

19.3.4三种常见的调用协议535

19.4从32位汇编到64位汇编536

19.4.1Intel 64与IA-32体系架构简介536

19.4.2 64位指令与32位指令536

19.4.3通用寄存器537

19.564位下的函数实现538

19.5.1函数概览538

19.5.2 32位参数的传递539

19.5.3 64位参数与返回值540

19.5.4栈空间的开辟与恢复541

第20章Windows内核挂钩544

20.1系统服务描述符表挂钩545

20.1.1系统服务描述符表（SSDT）545

20.1.2系统服务描述符表挂钩的意图546

20.1.3寻找要挂钩的函数的地址547

20.1.4函数被挂钩的过程548

20.1.5具体实现的代码549

20.2函数导出表挂钩551

20.2.1内核函数的种类551

20.2.2挂钩IoCallDriver553

20.2.3对跳转地址进行修改554

20.3Windows 7系统下IofCallDriver的跟踪555

20.4Windows 7系统下内联挂钩558

20.4.1写入跳转指令并拷贝代码558

20.4.2实现中继函数560

20.5中断与中断挂钩562

20.5.1IA-32体系结构中的中断562

20.5.2中断处理过程563

20.5.3 64位模式下的中断处理机制564

20.5.4多核下的中断565

20.5.5 Windows中断机制570

20.5.6 IDT Hook573

20.5.7 IDT Hook实现安全防护574

第21章Windows通知与回调577

21.1 Windows的事件通知与回调577

21.2常用的事件通知577

21.2.1创建进程通知578

21.2.2创建线程通知582

21.2.3加载模块通知583

21.2.4注册表操作通知586

21.3Windows回调机制592

21.3.1回调对象593

21.3.2回调对象的创建593

21.3.3回调对象的注册594

21.3.4回调的通告595

21.4安全的死角，回调的应用595

第22章保护进程597

22.1内核对象简介597

22.2内核对象的结构598

22.3保护内核对象599

22.3.1处理对象的打开600

22.3.2处理句柄的复制601

22.3.3处理句柄的继承603

22.4进程的保护609

22.4.1保护原理609

22.4.2Vista以后的进程对象保护611

22.4.3进程的其他保护612

第23章代码注入与防注入613

23.1注入与防注入简介613

23.2常用的注入方式614

23.3主动注入614

23.3.1AppInit注入615

23.3.2 SPI注入618

23.3.3消息事件注入620

23.3.4其他注入621

23.4被动注入621

23.4.1远线程注入621

23.4.2APC注入622

23.4.3父子进程注入623

23.5防注入624

23.5.1防止主动注入624

23.5.2防止被动注入629

23.6总结630

附录A如何使用本书的源码631

附录B练习题634