描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787121384882
本书前身是《Windows内核安全与驱动开发》,重点围绕Windows操作系统的机制介绍内核安全编程技术,除了少数特殊章节,大部分内容均适用于Windows 2000至Windows 10操作系统,体系结构覆盖32位以及64位。同时本书也深入浅出地介绍了汇编基础和系统内核机制。本书共分为三篇,分别从不同的角度介绍内核编程技术。第1篇面向零基础的读者,其中“内核编程环境”“内核驱动运行与调试”“内核编程基础”重点介绍与内核编程相关的基本知识、开发环境搭建,以及基本的编程机制。“应用与内核通信”和“64位和32位内核开发差异”主要介绍应用层编程与内核编程的数据交互。*后,介绍了编程过程所需注意的事项,以及设计技巧。第2篇结合操作系统的机制,从*简单的“串口的过滤”开始,介绍了“键盘的过滤”‘“磁盘的过滤”“文件系统的过滤”“Windows过滤平台”“NDIS协议驱动”“NDIS小端口驱动”,以及“NDIS中间层驱动”。覆盖了整个Windows系统的主流过滤框架,并且深入剖析了文件透明加密解密的原理。第3篇侧重安全技术,重点介绍了安全编程所需要使用的知识,如“IA-32汇编基础”“Windows内核挂钩”“Windows通知与回调”“保护进程”,以及“代码注入与防注入”。本书由具有十多年终端安全开发经验的从业人员编写,以简洁实用为准则,理论与实际案例相结合。适用于计算机软件安全从业人员、有一定C语言基础且对计算机安全感兴趣的爱好者。
目 录
第1篇 基础篇
第1章 内核编程环境 002
1.1 下载开发编译环境 002
1.1.1 编译环境介绍 002
1.1.2 下载Visual Studio与WDK 004
1.2 编写第一个C文件 006
1.2.1 通过Visual Studio新建工程 006
1.2.2 内核入口函数 007
1.2.3 编写入口函数体 008
1.3 编译第一个驱动 010
1.3.1 通过Visual Studio编译 010
1.3.2 通过WDK直接编译 011
第2章 内核驱动运行与调试 013
2.1 驱动的运行 013
2.2 服务的基本操作 015
2.2.1 打开服务管理器 015
2.2.2 服务的注册 016
2.2.3 服务的启动与停止 018
2.2.4 服务的删除 019
2.2.5 服务的例子 020
2.2.6 服务小结 022
2.3 驱动的调试 022
2.3.1 基于VS WDK环境调试 022
2.3.2 基于Windbg调试 026
第3章 内核编程基础 029
3.1 上下文环境 029
3.2 中断请求级别 031
3.3 驱动异常 033
3.4 字符串操作 034
3.5 链表 036
3.5.1 头节点初始化 038
3.5.2 节点插入 038
3.5.3 链表遍历 039
3.5.4 节点移除 040
3.6 自旋锁 040
3.6.1 使用自旋锁 040
3.6.2 在双向链表中使用自旋锁 041
3.6.3 使用队列自旋锁提高性能 042
3.7 内存分配 043
3.7.1 常规内存分配 043
3.7.2 旁视列表 045
3.8 对象与句柄 049
3.9 注册表 054
3.9.1 注册表的打开与关闭 054
3.9.2 注册表的修改 056
3.9.3 注册表的读取 057
3.10 文件操作 060
3.10.1 文件的打开与关闭 060
3.10.2 文件的读写 063
3.11 线程与事件 066
3.11.1 使用系统线程 066
3.11.2 使用同步事件 067
第4章 应用与内核通信 070
4.1 内核方面的编程 071
4.1.1 生成控制设备 071
4.1.2 控制设备的名字和符号链接 073
4.1.3 控制设备的删除 074
4.1.4 分发函数 074
4.1.5 请求的处理 076
4.2 应用方面的编程 077
4.2.1 基本的功能需求 077
4.2.2 在应用程序中打开与关闭设备 077
4.2.3 设备控制请求 078
4.2.4 内核中的对应处理 080
4.2.5 结合测试的效果 082
第5章 64位和32位内核开发差异 083
5.1 64位系统新增机制 083
5.1.1 WOW64子系统 083
5.1.2 PatchGuard技术 086
5.1.3 64位驱动的编译、安装与运行 086
5.2 编程差异 087
5.2.1 汇编嵌入变化 087
5.2.2 预处理与条件编译 088
5.2.3 数据结构调整 088
第6章 内核编程技巧 090
6.1 初始化赋值问题 090
6.2 有效性判断 091
6.3 一次性申请 092
6.4 独立性与最小化原则 095
6.5 嵌套陷阱 097
6.6 稳定性处理 098
6.6.1 事前处理 098
6.6.2 事中处理 100
6.6.3 事后处理 104
第2篇 过滤篇
第7章 串口的过滤 106
7.1 过滤的概念 106
7.1.1 设备绑定的内核API之一 106
7.1.2 设备绑定的内核API之二 107
7.1.3 生成过滤设备并绑定 108
7.1.4 从名字获得设备对象 110
7.1.5 绑定所有串口 111
7.2 获得实际数据 112
7.2.1 请求的区分 112
7.2.2 请求的结局 113
7.2.3 写请求的数据 114
7.3 完整的代码 114
7.3.1 完整的分发函数 114
7.3.2 如何动态卸载 116
7.3.3 代码的编译与运行 117
第8章 键盘的过滤 119
8.1 技术原理 120
8.1.1 预备知识 120
8.1.2 Windows中从击键到内核 120
8.1.3 键盘硬件原理 122
8.2 键盘过滤的框架 122
8.2.1 找到所有的键盘设备 122
8.2.2 应用设备扩展 125
8.2.3 键盘过滤模块的DriverEntry 127
8.2.4 键盘过滤模块的动态卸载 127
8.3 键盘过滤的请求处理 129
8.3.1 通常的处理 129
8.3.2 PNP的处理 130
8.3.3 读的处理 131
8.3.4 读完成的处理 132
8.4 从请求中打印出按键信息 133
8.4.1 从缓冲区中获得KEYBOARD_
INPUT_DATA 133
8.4.2 从KEYBOARD_INPUT_DATA
中得到键 134
8.4.3 从MakeCode到实际字符 134
8.5 Hook分发函数 136
8.5.1 获得类驱动对象 136
8.5.2 修改类驱动的分发函数指针 137
8.5.3 类驱动之下的端口驱动 138
8.5.4 端口驱动和类驱动之间的
协作机制 139
8.5.5 找到关键的回调函数的条件 140
8.5.6 定义常数和数据结构 140
8.5.7 打开两种键盘端口驱动
寻找设备 141
8.5.8 搜索在KbdClass类驱动中的
地址 143
8.6 Hook键盘中断反过滤 145
8.6.1 中断:IRQ和INT 146
8.6.2 如何修改IDT 147
8.6.3 替换IDT中的跳转地址 148
8.6.4 QQ的PS/2反过滤措施 149
8.7 直接用端口操作键盘 150
8.7.1 读取键盘数据和命令端口 150
8.7.2 p2cUserFilter的最终实现 151
第9章 磁盘的虚拟 153
9.1 虚拟的磁盘 153
9.2 一个具体的例子 153
9.3 入口函数 154
9.3.1 入口函数的定义 154
9.3.2 Ramdisk驱动的入口函数 155
9.4 EvtDriverDeviceAdd函数 156
9.4.1 EvtDriverDeviceAdd的定义 156
9.4.2 局部变量的声明 157
9.4.3 磁盘设备的创建 157
9.4.4 如何处理发往设备的请求 158
9.4.5 用户配置的初始化 160
9.4.6 链接给应用程序 161
9.5 FAT12/16磁盘卷初始化 163
9.5.1 磁盘卷结构简介 163
9.5.2 Ramdisk对磁盘的初始化 164
9.6 驱动中的请求处理 170
9.6.1 请求的处理 170
9.6.2 读/写请求 171
9.6.3 DeviceIoControl请求 172
9.7 Ramdisk的编译和安装 175
9.7.1 编译 175
9.7.2 安装 175
9.7.3 对安装的深入探究 175
第10章 磁盘的过滤 177
10.1 磁盘过滤驱动的概念 177
10.1.1 设备过滤和类过滤 177
10.1.2 磁盘设备和磁盘卷设备
过滤驱动 177
10.1.3 注册表和磁盘卷设备过滤
驱动 178
10.2 具有还原功能的磁盘卷过滤驱动 178
10.2.1 简介 178
10.2.2 基本思想 179
10.3 驱动分析 179
10.3.1 DriverEntry函数 179
10.3.2 AddDevice函数 180
10.3.3 PnP请求的处理 184
10.3.4 Power请求的处理 188
10.3.5 DeviceIoControl请求的处理 189
10.3.6 bitmap的作用和分析 192
10.3.7 boot驱动完成回调函数和
稀疏文件 198
10.3.8 读/写请求的处理 200
第11章 文件系统的过滤与监控 209
11.1 文件系统的设备对象 210
11.1.1 控制设备与卷设备 210
11.1.2 生成自己的一个控制设备 211
11.2 文件系统的分发函数 212
11.2.1 普通的分发函数 212
11.2.2 文件过滤的快速IO分发函数 213
11.2.3 快速IO分发函数的一个实现 215
11.2.4 快速IO分发函数逐个简介 216
11.3 设备的绑定前期工作 217
11.3.1 动态地选择绑定函数 217
11.3.2 注册文件系统变动回调 219
11.3.3 文件系统变动回调的一个
实现 220
11.3.4 文件系统识别器 221
11.4 文件系统控制设备的绑定 222
11.4.1 生成文件系统控制设备的
过滤设备 222
11.4.2 绑定文件系统控制设备 223
11.4.3 利用文件系统控制请求 225
11.5 文件系统卷设备的绑定 227
11.5.1 从IRP中获得VPB指针 227
11.5.2 设置完成函数并等待IRP
完成 228
11.5.3 卷挂载IRP完成后的工作 231
11.5.4 完成函数的相应实现 233
11.5.5 绑定卷的实现 234
11.6 读/写操作的过滤 236
11.6.1 设置一个读处理函数 236
11.6.2 设备对象的区分处理 237
11.6.3 解析读请求中的文件信息 238
11.6.4 读请求的完成 241
11.7 其他操作的过滤 244
11.7.1 文件对象的生存周期 244
11.7.2 文件的打开与关闭 245
11.7.3 文件的删除 247
11.8 路径过滤的实现 248
11.8.1 取得文件路径的三种情况 248
11.8.2 打开成功后获取路径 249
11.8.3 在其他时刻获得文件路径 250
11.8.4 在打开请求完成之前获得
路径名 251
11.8.5 把短名转换为长名 253
11.9 把sfilter编译成静态库 254
11.9.1 如何方便地使用sfilter 254
11.9.2 初始化回调、卸载回调和
绑定回调 254
11.9.3 绑定与回调 256
11.9.4 插入请求回调 257
11.9.5 如何利用sfilter.lib 259
第12章 文件系统透明加密 263
12.1 文件透明加密的应用 263
12.1.1 防止企业信息泄密 263
12.1.2 文件透明加密防止企业信息
泄密 263
12.1.3 文件透明加密软件的例子 264
12.2 区分进程 265
12.2.1 机密进程与普通进程 265
12.2.2 找到进程名字的位置 266
12.2.3 得到当前进程的名字 267
12.3 内存映射与文件缓冲 268
12.3.1 记事本的内存映射文件 268
12.3.2 Windows的文件缓冲 269
12.3.3 文件缓冲:明文还是密文的
选择 270
12.3.4 清除文件缓冲 271
12.4 加密标识 274
12.4.1 保存在文件外、文件头还是
文件尾 274
12.4.2 隐藏文件头的大小 275
12.4.3 隐藏文件头的设置偏移 277
12.4.4 隐藏文件头的读/写偏移 277
12.5 文件加密表 278
12.5.1 何时进行加密操作 278
12.5.2 文件控制块与文件对象 279
12.5.3 文件加密表的数据结构与
初始化 280
12.5.4 文件加密表的操作:查询 281
12.5.5 文件加密表的操作:添加 282
12.5.6 文件加密表的操作:删除 283
12.6 文件打开处理
到现在仍清晰记得初见铭霖兄时,他儒雅、谦逊,令人印象非常深刻,而我早在此之前就拜读过铭霖兄的著作。
现在回想起来,我不由得对那本书有了更加深刻的理解。
记得那是在2015年年末,当时我们正在策划规模约1000多个课时的系统内核安全课程,教研部的负责人当时向我推荐了一本集大成之作,并准备以此书为模板策划课程的大部分内容,而这个负责重新整理编辑以前中国内核领域两本大作的编者正是铭霖兄。
当时的课程研发工作从2015年年末一直持续到了2017年年初,虽然在此之前我们教研组的老师,以及课程研发的负责人都做过内核安全相关的研究,但仍然被其中冗杂的规则与部分讳莫如深的非公开技术细节拖住了脚步,整个研发工作进展颇为艰辛,而正是铭霖兄的那本著作,为我们艰难的研发之旅点亮了一盏明灯,大大加快了我们课程研发的步伐,也正是因为这次经历,使得陈铭霖这个名字印在了我的脑海里。
后来在一次偶然的机会下,得知铭霖兄正在写一本新的与Windows内核编程相关的书籍,顿时激起了我的好奇心,由于我也曾出版过两本书籍,深知耕耘文字的不易,像系统内核编程这种前后依存关系紧密、内部知识点交织复杂的书籍更是难以掌控,除了要能统领此领域内各技术细节外,还要有一种不为功利、默默耕耘的精神追求,这在当前国内的技术领域内是非常宝贵且罕见的。
然而缘分是个奇怪的东西,经过我一位挚友的介绍,后来有幸能与铭霖兄相识,我们初见便促膝长谈了近6个小时,至今铭霖兄那谈到内核编程话题时滔滔不绝的样子仍历历在目。
在我们谈到要出版的新著作时,其实我内心是有所疑虑的,虽然铭霖兄有过出版经历,并且在腾讯、深信服科技等顶级安全实验室的多年工作中积累了大量的宝贵经验,但当时铭霖兄也正值创业初期,如何能在繁忙且高压的创业工作之余照顾好家人,还要再安排出如此巨大的精力去沉淀梳理自己的所思所想?我不由得替铭霖兄默默担忧。
而一切忧虑在铭霖兄邀请我查看其书稿时瞬间烟消云散,当我看到这本600余页的“大部头”时,不由得替铭霖兄高兴,也不由得替国内的内核开发从业者们高兴。
这是一本从初学者角度出发,以内核安全高度为终点的书,本书从最基本的Windows内核级基本概念开始介绍,只要读者具备C语言基础就可以读懂,并在第二篇中由易到难地介绍了各种内核编程中的过滤技术,最后拔高到内核安全,不夸张地说,如果读者想要学习Windows内核安全,有这本书基本就够了。
随着网络空间安全的逐步发展以及对个人隐私的逐步重视,这几年略微降温的内核编程在个人隐私保护以及防泄密等领域渐渐升温,内核编程即将迎来第二春,而这本书不失为各位读者把握住这一技术潮流的最有利武器。
最后,在有幸作序之余,祝愿这本书能有更多的读者,能有更多的认可,能发挥更多的价值,希望这本书能成为国内Windows内核编程的经典著作。
任晓珲
十五派信息安全教育创始人
《黑客免杀攻防》作者
黑客反病毒组织创始人
2019年11月
前 言
Windows是当前主流的闭源操作系统,从第一个NT内核的Windows 2000至今,已经有20年左右的历史,在这漫长的20年内,为了满足日益变化的业务需求,以及应对不断升级的安全挑战,Windows操作系统内核一直不断升级与完善,其主要表现是内核中增加了新的逻辑模块与安全机制,其中最为典型的是64位的Windows操作系统内核对比32位内核增加了“PatchGuard”模块,这个模块的主要作用是检查内核是否被第三方内核模块“污染”,目的是防止病毒木马使用内核挂钩或劫持的技术篡改内核。新的安全机制往往会对安全开发者带来一定的影响,其原因是一些软件过度依赖系统未公开的底层技术,而正确的做法是开发者需紧密依赖系统提供的公开机制,利用可利用的机制完成相同的功能,这要求开发者对整个Windows内核机制有深入的理解,作者编写本书的目的之一,正是希望读者能对Windows内核有更全面、更深入的认识。
本书的前身是《Windows内核编程与驱动开发》,本书在前者的基础上,删除了部分过时章节,重写了大部分基础章节并新增了部分当前较为热门的技术章节,同时为了使本书内容更为聚焦,删除了与Windows内核关联性不强的内容。
本书面向的人群主要有以下几类。
? 有一定C语言基础,有兴趣了解Windows内核的读者。
? 有一定C语言基础,并且希望从事Windows内核开发的读者。
? 有一定基础的Windows内核开发者,有意愿进一步提高的读者。
本书共分为三部分。第一部分,从初学者的角度出发,介绍Windows内核的基本概念、开发环境的搭建、系统机制以及内核编程的技巧;其中,第1章与第2章是本书最为基础的部分,介绍了内核编程的基本概念与开发环境搭建,初学者应该首先学习这部分内容。第3~5章重点介绍了系统的常用机制,这些机制的使用会贯穿本书所有章节,掌握这些常用机制是内核开发者最基本的要求。第6章介绍了内核编程的注意事项与技巧,这些注意事项与技巧可以帮助初学者少走弯路,快速入门。
第二篇为过滤篇,是本书的核心内容,分别详细介绍了Windows系统的过滤机制。首先以最简单的串口过滤驱动开始,剖析了一个过滤驱动的最基本要素,然后分别介绍了键盘过滤、磁盘过滤、文件过滤以及网络过滤,由易到难;对于网络过滤,本篇从不同的网络层次与角度介绍了TDI、WFP以及NDIS等机制。本篇内容涵盖了目前Windows系统绝大部分主流的过滤技术。
第三篇为应用篇,结合前面两篇的知识点,本篇综合介绍了Windows安全领域所需的其他技术,通过对本篇的学习,读者将会发现安全技术并不局限于系统提供的现成机制。本篇选取了目前主流安全软件所使用到的典型技术,深入浅出,首先介绍了CPU的基本知识点,然后基于上述知识点,第20章重点介绍了Windows下的挂钩技术,挂钩技术常被用于安全软件的检测、审计、拦截等技术;第22章与第23章从守护的角度,为读者介绍了自我保护技术。
笔者拥有十余年的Windows开发经验,主导过数据安全、主机安全、服务器安全等项目,涉及to C(面向消费者群体)和to B(面向企业用户群体)行业,深知Windows内核的复杂性,由于行业的特殊环境,to C和to B的内核技术方案选型不尽相同,因为不同的用户群体,其主机上软件存在参差不齐的同类安全软件,安全软件之间也存在大量的兼容性问题,这些问题的引入使得原本并不简单的内核编程更为复杂化。记得有很多读者问过我一个相同的问题:如何编写一个稳定的内核模块。这个问题其实没有标准答案,从笔者的经验来看,读者首先应该养成良好的编程习惯,然后深入理解系统的各种安全机制以及拦截方法,在编写代码时候,请思考如下几个问题:①这句代码是否会被其他软件拦截导致失败;②这句代码是否会触发一些第三方的回调函数;③这句代码失败后应该怎么处理。本书在为读者介绍技术的同时,也为读者介绍了笔者的内核开发心得体会与技巧,希望这些体会与技巧可以为读者带来更多的思考。内核编程类似于武林秘籍的内功修炼,需要时间沉淀,并非一蹴而就,请读者赋予更多的耐心,“成功之道,贵在坚持”。
技术书籍写作的工作量巨大而繁杂,在整个写作过程中,要感谢安全圈内朋友的支持,尤其感谢数篷科技的科学家吴烨以及CTO杨一飞、架构师王柏达,他们在工作中为我提供了大量的帮助,使得本书能顺利出版。感谢我的父母、妻子、女儿以及其他家人,在每天有限的时间里,需要花费更多的精力在写作上而缺少对他们的陪伴,尤其是我的女儿,在深感愧疚的同时,也感谢他们的理解与支持;感谢上一本书籍的热心读者,他们反馈的问题更好地完善了本书内容。最后,希望本书能为安全圈内的读者或者即将进入安全圈的读者带来更大的收获。
陈铭霖
2019年11月于深圳
本书的作者和贡献者
本书的前身是《Windows内核安全与驱动开发》,除了直接编写本书的作者外,也有业内技术人士协同编写了部分章节,所有作者一并介绍如下:
谭文,网名楚狂人,已有十七年客户端安全软件开发经验。先后在NEC、英特尔亚太研发有限公司、腾讯科技任职。曾经从事过企业安全软件、x86版Android的houdini项目、腾讯电脑管家、腾讯游戏安全等开发工作。对Windows内核有深入的研究,现任腾讯科技游戏安全团队驱动程序开发负责人,专家工程师。指导本书主题思想,编写了核心过滤章节,并审核了所有新章节。
陈铭霖,现任职数篷科技终端安全负责人,负责终端安全开发,之前曾任腾讯科技高级工程师,主导腾讯电脑管家客户端安全项目也曾任深信服科技Windows架构师以及虚拟化产品架构师。有十余年终端安全开发经验,覆盖to C、to B及to G行业,并具有千万级DAU安全产品的研发经验。主导了全书内容,重写了大部分章节,新增了部分章节。
张佩,Windows驱动开发技术专家,长期从事声卡、显卡等硬件驱动程序的开发、调试工作。目前在英特尔亚太研发有限公司平板电脑相关部门工作。曾著有《竹林蹊径——深入浅出Windows驱动开发》一书。为本书贡献了若干个网络驱动相关的章节。
杨潇,曾任Windows客户端安全工程师,先后在上海贝尔和北京Comodo工作。后来离职创业,目前为西安一家医疗科技公司的CEO。编写了本书磁盘驱动相关章节。
邵坚磊,网名wowocock,业内著名的Windows安全技术专家。长期从事Windows安全相关的内核开发工作。目前在奇虎360任职。编写了本书部分章节并提供了部分代码实例。
卢冠豪,中国台湾人。毕业于辅仁大学资讯工程学系。长期从事C、C 、网络与通信程序设计工作,参与过“端点安全”“资产管理”“网络流量分析”等项目的开发与维护,擅长Windows项目开发。编写了本书文件系统微端口过滤一章。
本书读者反馈的QQ群是4088102,想了解更多信息也可以关注微信订阅号:终端安全编程。
评论
还没有评论。