- Windows内核编程
- 谭文
- 1964字
- 2020-08-27 14:21:24
前言
Windows是当前主流的闭源操作系统,从第一个NT内核的Windows 2000至今,已经有20年左右的历史。在这漫长的20年内,为了满足日益变化的业务需求,以及应对不断升级的安全挑战,Windows操作系统内核一直不断升级与完善,其主要表现是内核中增加了新的逻辑模块与安全机制,其中最为典型的是64位的Windows操作系统内核对比32位内核增加了“Patch Guard”模块,这个模块的主要作用是检查内核是否被第三方内核模块“污染”,目的是防止病毒木马使用内核挂钩或劫持的技术篡改内核。新的安全机制往往会对安全开发者带来一定的影响,其原因是一些软件过度依赖系统未公开的底层技术,而正确的做法是开发者需紧密依赖系统提供的公开机制,利用可利用的机制完成相同的功能,这要求开发者对整个Windows内核机制有深入的理解。作者编写本书的目的之一,正是希望读者能对Windows内核有更全面、更深入的认识。
本书的前身是《Windows内核编程与驱动开发》,本书在前者的基础上,删除了部分过时的章节,重写了大部分基础章节并新增了部分当前较为热门的技术,同时为了使本书内容更为聚焦,删除了与Windows内核关联性不强的内容。
本书面向的人群主要有以下几类。
●有一定C语言基础,有兴趣了解Windows内核的读者。
●有一定C语言基础,并且希望从事Windows内核开发的读者。
●有一定基础的Windows内核开发者,有意愿进一步提高的读者。
本书共分为三篇。第一篇为基础篇(第1章~第6章),从初学者的角度出发,介绍Windows内核的基本概念、开发环境的搭建、系统机制以及内核编程的技巧。第1章与第2章是本书最为基础的部分,介绍了内核编程的基本概念与开发环境搭建,初学者应该首先学习这部分内容。第3~第5章重点介绍了系统的常用机制,这些机制的使用会贯穿本书所有章节,掌握这些常用机制是内核开发者最基本的要求。第6章介绍了内核编程的注意事项与技巧,这些注意事项与技巧可以帮助初学者少走弯路,快速入门。
第二篇为过滤篇(第7章~第18章),是本书的核心内容,由易到难详细介绍了Windows系统的过滤机制。首先以最简单的串口过滤驱动开始,剖析了一个过滤驱动的最基本要素,然后分别介绍了键盘过滤、磁盘过滤、文件过滤以及网络过滤。对于网络过滤,本篇从不同的网络层次与角度介绍了TDI、WFP以及NDIS等机制。本篇内容涵盖了目前Windows系统绝大部分主流的过滤技术。
第三篇为应用篇(第19章~第23章),结合前两篇的知识点,本篇综合介绍了Windows安全领域所需的其他技术,通过对本篇的学习,读者将会发现安全技术并不局限于系统提供的现成机制。本篇选取了目前主流安全软件所使用到的典型技术,深入浅出,首先介绍了CPU的基本知识点,然后基于上述知识点,第20章重点介绍了Windows下的挂钩技术,挂钩技术常被用于安全软件的检测、审计、拦截等技术;第22章和第23章从守护的角度,为读者介绍了自我保护技术。
笔者拥有十余年的Windows开发经验,主导过数据安全、主机安全、服务器安全等项目,涉及To C(面向消费者群体)和To B(面向企业用户群体)行业,深知Windows内核的复杂性,由于行业的特殊环境,To C和To B的内核技术方案选型不尽相同,因为不同的用户群体,其主机上软件存在参差不齐的同类安全软件,安全软件之间也存在大量的兼容性问题,这些问题的引入使得原本并不简单的内核编程更为复杂化。记得有很多读者问过我一个相同的问题:如何编写一个稳定的内核模块。这个问题其实没有标准答案,以笔者的经验来看,读者首先应该养成良好的编程习惯,然后深入理解系统的各种安全机制以及拦截方法,在编写代码时,请思考如下几个问题:①这句代码是否会被其他软件拦截导致失败;②这句代码是否会触发一些第三方的回调函数;③这句代码失败后应该怎么处理。本书在为读者介绍技术的同时,也为读者介绍了笔者的内核开发心得体会与技巧,希望这些体会与技巧可以为读者带来更多的思考。内核编程类似于武林秘籍的内功修炼,需要时间沉淀,并非一蹴而就,请读者赋予更多的耐心,“成功之道,贵在坚持”。
写作是一项工作量巨大而繁杂的工作,而对于技术书籍来说更是如此。由于我个人工作的缘故,写作只能在晚上或周末进行,有时为了整章内容的思路连贯而需要挑灯夜战,通宵达旦。一路走来,感谢我的父母、妻子和女儿,在每天有限的时间里,我需要投入更多的时间精力专注在写作上而缺少对他们的陪伴,尤其是我的女儿淇淇,在深感愧疚的同时,也感谢他们的理解与支持。
感谢我的挚友黄瀚,在本书写作过程中一直支持我,并为我提供了大量的技术性资源。感谢电子工业出版社的李冰老师和冯琦老师,她们的编辑工作确保了书本所有文字内容严谨与通畅。
感谢“安全圈”内朋友们的支持,尤其感谢数篷科技的科学家吴烨、CTO杨一飞以及架构师王柏达,他们在工作中为我提供大量的帮助。感谢上一本书籍热心的读者,他们反馈的问题更好地完善了本书的内容。
最后,希望本书能为“安全圈”内的读者或者即将进入“安全圈”的读者带来更大的收获。
陈铭霖
2020年1月于深圳