寒江独钓串口过滤驱动

❶ 我想用C语言写一个文件粉碎机，求大神指点我该看些啥书，最好列个书名。

1. 如果说不需要了解到内核那么深入，你就采用Windows的文件系统驱动吧，大题思路是打开磁盘，然后利用DeviceIoControl访问磁盘，可以直接操作扇区，这里需要你对文件系统比较了解，然后直接删除要粉碎的FAT和FDT就行了！
2. 要专业的话，涉及到 文件过滤驱动，现在好多文件粉碎都是这样的，创建隐藏驱动盘？这个网上都有代码，不知道你所说的隐藏驱动盘是什么意思？创建虚拟磁盘网上也有代码和例子哈。去搜索下！

呵呵，最后我给你的建议是，找一个ARK的源代码来研究，很多人都写过的，比如像冰刃这样的，具有文件管理，强删等等。
具体的书名的话《寒江独钓 Windows内核安全编程》《文件过滤驱动》《文件系统方面书籍等等》，不多说了，还有什么再call我吧，Good Luck！

❷ 在windows平台下的底层开发应该有什么样的学习路线

1.语言C/C++（参考书籍:<<C/C++ Primer>> ,<<C和指针>>,<<数据结构C语言描述>>）），汇编（王爽的汇编语言，作为入门，参考Intel手册，之后参考看雪的<<加密与解密>>,了解PE文件的格式，加壳脱壳和病毒感染的手法，如果是开发的话，只需要了解即可，能用反汇编调试工具去做简单的CrackMe即可），这个阶段大约是大一大二的时间，除去老师上课教的C语言基础，80x86汇编语言以为，很多知识都是自己去扩展。
2.windows api（win32sdk） 参考书籍（《Windows程序设计》，《Windows核心编程》，MFC之类的需要使用的时候在参考即可，不必花费太多精力，主要是去了解程序的消息机制，事件等等，应该把主要的精力比如线程注入，Ring3的各种HOOK等。这个阶段是大二下学期的时间，说实话，我这个方面看的太少了，花了好多时间在一些没有意义的事情上，导致到大三的时候参加信息安全比赛做驱动的时候经验严重不足，所以基础太重要了）
3.然后就是winows驱动内核的开发（参考书籍，寒江独钓，张帆的Windows驱动开发技术详解，WDK上的各种示例代码） 熟悉各种过滤驱动框架（文件过滤驱动，文件微过滤驱动，tdi，ndis协议，ndis中间层，ndis小端口等等）。
然后就是各种系统底层的原理，进程创建的流程，文件创建的流程，进程间通信的过程，用各种调试，反汇编工具（od，ida，windbg）去跟踪分析，可以写一些Rootkit/Anti-Rootkit工具，比如对于进程隐藏和保护，有SSDT HOOK OpenProcess，摘除进程链表等等，这样有助于对系统底层机制的理解
4.后期就是经验和内功了，什么《深入解析Windows操作系统》，《TCP/IP》卷123，《Windows内核原理与实现》等等，说白了，个人认为，底层开发对于调试的功力要求很高，能从蓝屏的mp文件出有用的信息

❸ 什么是windows驱动编程

Linux的内核编程大家都是比较熟悉的。而Windows内核编程则不大为一般读者所熟悉。常常有这样的问题：
“你又没有Windows的代码，你如何搞内核编程？”
“除了微软的人，难道还有人做Windows内核吗？”
“Windows内核编程有用吗？”
其实Windows内核编程不但有用，而且常用。很多我们每天都使用的软件，就毫无疑问的使用了Windows内核编程的技术。最典型的就是实时监控的杀毒软件。此外还有防火墙、虚拟光驱、以及90%的驱动程序。这些程序的有一个共同的特点，他们的一部分组件，是作为Windows的一部分，能对 Windows上运行的所有的应用程序起作用。
因此内核编程的应用，往往给传统软件带来更强的功能，实现技术上的飞跃。
举个例子。我们常常听说，对文件进行加密，可以使文档更加安全。对文件加密并不需要任何内核组件。我们可以写一个应用程序，读入文件，加密数据，然后重写为一个加密文件。解密也可以同样如此。
但是实际上这并不满足一般的用户需求。对一个公司的员工来说，那些“重要的文档”很可能就是每天工作所用的文件。想象一下，他必须要每天从服务器上下载加密的文件，然后用解密工具解密。然后用Office开始工作。工作完毕后，用加密工具加密，再上传，然后删除工作文档。且不说大部分时间文档是以解密的方式保存在硬盘上的不安全性，这个工作流程是可以接受的吗？没有人会接受的。
比较“人性化”的方式就是让Office可以直接打开已经加密的文档。保存的时候，直接就保存成加密的文档。硬盘上，这个文档始终是加密的。而且对合法的用户透明。对非法的用户，则只能看见密文，从而无法编辑也无法阅读。而且也不仅仅Office,还有AutoCAD、Visual Studio、Photoshop等等用户可能用于编辑机密文件的所有的工具。这是可以实现的吗？如果我们不能去修改Office和其他的工作软件。
这当然是可以实现的。既然我们编写Windows内核程序，当然可以让Windows的文件系统从硬盘读取文件的时候，对特定的进程进行特别的解密。等这些软件读取到数据的时候，它们读到的已经是正常的数据了。这个过程和实时扫描病毒的原理是一样的，使用一个文件过滤驱动程序。这就是读者可能已经听到过的文件透明加密技术。
在和《天书夜读：从汇编语言到Windows内核编程》一书同一系列的《寒江独钓——Windows内核编程与信息安全》（预计明年出版）中，对键盘过滤、硬盘过滤、文件过滤、网络过滤等安全相关的内核编程，都有详尽的讲解和例子。
内核编程的另一个特点是：这些代码运行在R0级。R0级别是最高特权级别。对CPU有完全控制的能力。这非常的适合一些安全软件，当然也适合做破坏的工作。因为内核程序有最高（也就是根）权限，这样的技术在安全领域（或者破坏领域）被称为rootkit技术。rootkit技术是当前安全领域最热门的技术之一。
许多病毒使用了rootkit技术。用来隐藏病毒文件，窃取密码、发送攻击包等等。rootkit病毒感染后极难清除，在感染前提前防范是最有效的办法。
Windows内核确实没有公开源代码。但是MS提供Windows内核程序的开发包：WDK。WDK实际上主要用于开发驱动程序。而驱动程序基本上都是内核程序。WDK提供的头文件以及部分源代码，实际上就是Windows内核的代码的一部分。有部分驱动程序（比如FAT32文件系统）的代码是完全公开的。我们也可以在这里看到Windows内核开发者的代码风格。同时，微软也提供了所有Windows版本的符号表在网上供研究者下载。并提供了功能无比强大的调试器WinDbg。有了它们，你就可以轻松的调试Windows内核了。无论是你自己写的代码的部分，还是Windows内核开发者们编写的部分。虽然看到的是汇编语言，但是函数名和全局变量名都是存在的。而且，所有的这些（WDK、WinDBG,符号表）都是免费的。

那您还在等什么呢？欢迎进入Windows内核编程的世界！

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/broadviewprograming/archive/2009/03/10/3975093.aspx

❹ Windows内核（驱动）编程中的线程问题

可以使用函数PsCreateSystemThread，用起来和ring3差不多，ring0编程更要注意线程同步问题，否则很容易BSOD(蓝屏死机)

❺ 哪里可以下载计算机方面的电子书啊，最好是chm格式的文件，我想学javascript，学一些计算机方面的英语。

你学这么多你到底想学什么?
c++得学很久呢,看你需要做什么开发才学什么,
你做网站就找asp,php,asp.net,jsp的动态脚本语言,然后得会sql server,mysql,access这些数据库,javascript是必须要会的.
然后你还得会美工,photoshop做模板图,又得会css+div布局控制,又得了解jquery,prototype,mootools等框架和插件,又的会自己写插件.
计算机底层你就搞C++,C++基础过关了,你可以搞windows编程或者linux编程.
在windows下,你就得买至少10本书,电子书看的你眼睛都能瞎掉,最好是买..
我就是这么过来的,...电子书没耐心看说实话呵呵.
windows下的书,国产的基本都是垃圾,但也有好的,比如你做mfc开发,就看mfc深入浅出,
你做windows底层,就看寒江独钓底层驱动过滤,做ring3中间层软件开发,就得会数据库,mysql,mssql,access,sqlite等等...做游戏开发的话你就又得学directX,opengl,图形控制啊什么的,在linux平台开发你就得会Qt,关于linux运行机制,底层实现以及驱动程序开发,你都得会,
所以电脑这行随时都得学,进去了就是无底洞,确实工资高挺诱人,但是跳楼的也不少.

总结一下,做网页开发,javascript,python,asp,php,jsp,asp.net,photoshop,flash,actionscript,mssql,mysql,access,sqlite,oracle这是基础高级版你会针对语言性的框架得会,比如php的mvc,smart,php相关框架,asp.net的三层架构,多层架构,设计模式,mvc.jsp的ssh框架.数据库你得会增删改查,存储过程.
你要去工作,找个像样的好点的工作,你得有本科毕业证,
然后还有N个项目实战,还得有意义,还得现实,模板特色还得贴近中国特色,更重要的是全部原创,简历准备10份不同特色的,专注不同领域的.
这仅仅是web网页开发.
下面说计算机底层哈.
windows:c++,delphi,vb,易语言...或者汇编,asm.
搞的RING3和RING0两种开发,你要想独吞那太复杂需要很长时间,这方面大牛有很多人可以去debugman玩玩.Ring3开发无非是一些小软件,你要想赚钱就做一般实用性的,纯客户端源码分析,
其实完全不是学几本书就能搞定的,你要的是有足够的时间!放弃一切!包括身边的所有事去融入其中不分日夜黑白的看大牛小牛的源代码.......如果你有对象了,或者有女友了,那么放弃底层吧,除非她和你一样整天搞程序,但这样女孩基本上1%都没有.
另外还有做安全方面的人才,保护计算机的安全啊什么的,背后都赚了N亿钱.这世界不是你有技术就厉害,而是你有钱,你得想办法搞到钱,才能在朋友们,亲人们,爸爸妈妈面前,有面子,哦不,不是有面子,是显得,你成熟了,注意啊,中国式成熟而已.
linux:做linux开发,纯属娱乐,当然我说不包括php网站这种的,我说的是普通开发,非嵌入式,也非驱动开发,没啥作用,没人找你在linux给他开发个程序的,如果这有这样的人,他自己也得懂开发了.
关于python,qt这类跨平台的东西,学学甚好,哪天跟哥们吹起牛,我放弃windows还能活着,呵呵.别有一番风采和趣味.
做开发实在是难受,你没有一点商业思想,最好就是工作用到啥,学啥,在工作之前想好你要工作的地点,以及做什么开发?网页的话,学专门的,找专门的.这样最好了.
如果你想包揽全部技术,对不起,你可以去北京西单那图书馆去看下,这方面的书,唉...残酷.
哦对了我还没说手机开发.
j2me,android,iphone,symbian这四个平台现在最火,也不是四个,其实android和j2me都是用java做开发,只不过底层支持不一样.symbian可以用qt做开发.
这玩意还得看你喜欢不喜欢,喜欢还得能找对地方,另外最好别去小公司干活,被老板吭的你都不想做程序员了.

好了,就到这里了,我不知道为啥要说这么多,但是应该足以说明一个基本的程序员,应该会的东西,这方面资料太多,太庞大,博大精深,希望各位同学看到此帖,谨以一种语言做根基,再去继承,再去多态吧.

❻ 在windows平台下的底层开发应该有什么样的学习路线

题主问的是学习路线，以下是个人意见，（目前是某网络安全公司的开发实习生）：
1.语言C/C++（参考书籍:<<C/C++ Primer>> ,<<C和指针>>,<<数据结构C语言描述>>）），汇编（王爽的汇编语言，作为入门，参考Intel手册，之后参考看雪的<<加密与解密>>,了解PE文件的格式，加壳脱壳和病毒感染的手法，如果是开发的话，只需要了解即可，能用反汇编调试工具去做简单的CrackMe即可），这个阶段大约是大一大二的时间，除去老师上课教的C语言基础，80x86汇编语言以为，很多知识都是自己去扩展。
2.windows api（win32sdk） 参考书籍（《Windows程序设计》，《Windows核心编程》，MFC之类的需要使用的时候在参考即可，不必花费太多精力，主要是去了解程序的消息机制，事件等等，应该把主要的精力比如线程注入，Ring3的各种HOOK等。这个阶段是大二下学期的时间，说实话，我这个方面看的太少了，花了好多时间在一些没有意义的事情上，导致到大三的时候参加信息安全比赛做驱动的时候经验严重不足，所以基础太重要了）
3.然后就是winows驱动内核的开发（参考书籍，寒江独钓，张帆的Windows驱动开发技术详解，WDK上的各种示例代码） 熟悉各种过滤驱动框架（文件过滤驱动，文件微过滤驱动，tdi，ndis协议，ndis中间层，ndis小端口等等）。 然后就是各种系统底层的原理，进程创建的流程，文件创建的流程，进程间通信的过程，用各种调试，反汇编工具（od，ida，windbg）去跟踪分析，可以写一些Rootkit/Anti-Rootkit工具，比如对于进程隐藏和保护，有SSDT HOOK OpenProcess，摘除进程链表等等，这样有助于对系统底层机制的理解
4.后期就是经验和内功了，什么《深入解析Windows操作系统》，《TCP/IP》卷123，《Windows内核原理与实现》等等，说白了，个人认为，底层开发对于调试的功力要求很高，能从蓝屏的mp文件出有用的信息

❼ 关于Windows内核编程的问题

其实Windows内核编程不但有用，而且常用。很多我们每天都使用的软件，就毫无疑问的使用了Windows内核编程的技术。最典型的就是实时监控的杀毒软件。此外还有防火墙、虚拟光驱、以及90%的驱动程序。这些程序的有一个共同的特点，他们的一部分组件，是作为Windows的一部分，能对 Windows上运行的所有的应用程序起作用。
因此内核编程的应用，往往给传统软件带来更强的功能，实现技术上的飞跃。
举个例子。我们常常听说，对文件进行加密，可以使文档更加安全。对文件加密并不需要任何内核组件。我们可以写一个应用程序，读入文件，加密数据，然后重写为一个加密文件。解密也可以同样如此。
但是实际上这并不满足一般的用户需求。对一个公司的员工来说，那些“重要的文档”很可能就是每天工作所用的文件。想象一下，他必须要每天从服务器上下载加密的文件，然后用解密工具解密。然后用Office开始工作。工作完毕后，用加密工具加密，再上传，然后删除工作文档。且不说大部分时间文档是以解密的方式保存在硬盘上的不安全性，这个工作流程是可以接受的吗？没有人会接受的。
比较“人性化”的方式就是让Office可以直接打开已经加密的文档。保存的时候，直接就保存成加密的文档。硬盘上，这个文档始终是加密的。而且对合法的用户透明。对非法的用户，则只能看见密文，从而无法编辑也无法阅读。而且也不仅仅Office,还有AutoCAD、Visual Studio、Photoshop等等用户可能用于编辑机密文件的所有的工具。这是可以实现的吗？如果我们不能去修改Office和其他的工作软件。
这当然是可以实现的。既然我们编写Windows内核程序，当然可以让Windows的文件系统从硬盘读取文件的时候，对特定的进程进行特别的解密。等这些软件读取到数据的时候，它们读到的已经是正常的数据了。这个过程和实时扫描病毒的原理是一样的，使用一个文件过滤驱动程序。这就是读者可能已经听到过的文件透明加密技术。
在和《天书夜读：从汇编语言到Windows内核编程》一书同一系列的《寒江独钓——Windows内核编程与信息安全》（预计明年出版）中，对键盘过滤、硬盘过滤、文件过滤、网络过滤等安全相关的内核编程，都有详尽的讲解和例子。
内核编程的另一个特点是：这些代码运行在R0级。R0级别是最高特权级别。对CPU有完全控制的能力。这非常的适合一些安全软件，当然也适合做破坏的工作。因为内核程序有最高（也就是根）权限，这样的技术在安全领域（或者破坏领域）被称为rootkit技术。rootkit技术是当前安全领域最热门的技术之一。
许多病毒使用了rootkit技术。用来隐藏病毒文件，窃取密码、发送攻击包等等。rootkit病毒感染后极难清除，在感染前提前防范是最有效的办法。
Windows内核确实没有公开源代码。但是MS提供Windows内核程序的开发包：WDK。WDK实际上主要用于开发驱动程序。而驱动程序基本上都是内核程序。WDK提供的头文件以及部分源代码，实际上就是Windows内核的代码的一部分。有部分驱动程序（比如FAT32文件系统）的代码是完全公开的。我们也可以在这里看到Windows内核开发者的代码风格。同时，微软也提供了所有Windows版本的符号表在网上供研究者下载。并提供了功能无比强大的调试器WinDbg。有了它们，你就可以轻松的调试Windows内核了。无论是你自己写的代码的部分，还是Windows内核开发者们编写的部分。虽然看到的是汇编语言，但是函数名和全局变量名都是存在的。而且，所有的这些（WDK、WinDBG,符号表）都是免费的。

❽ VC怎么写键盘驱动

完整的键盘功能驱动挺复杂的,如果想了解下如何编写键盘过滤驱动可以看看<寒江独钓>,里面有一章专门讲键盘过滤与反过滤的

❾ 寒江独钓：Windows内核安全编程的图书目录

第1章 内核上机指导 1
Windows内核编程的动手有点麻烦，并不是仅仅安装一个独立的软件（比如VC）之后就可以安然地开始编写代码，然后运行了。需要下载开发包、配置开发环境、准备调试工具，可能还需要一些小工具协同工作。这一步拦住了不少的初学者。本章以详细图文攻略，来引导读者完成这一麻烦的步骤。
1.1 下载和使用WDK 2
1.1.1 下载安装WDK 2
1.1.2 编写第一个C文件 3
1.1.3 编译一个工程 5
1.2 安装与运行 6
1.2.1 下载一个安装工具 6
1.2.2 运行与查看输出信息 7
1.2.3 在虚拟机中运行 9
1.3 调试内核模块 9
1.3.1 下载和安装WinDbg 9
1.3.2 设置Windows XP调试执行 10
1.3.3 设置Vista调试执行 11
1.3.4 设置VMWare的管道虚拟串口 11
1.3.5 设置Windows内核符号表 13
1.3.6 实战调试first 14
练习题 16
第2章 内核编程环境及其特殊性 17
编写过驱动程序的读者可能会很熟悉这一切，但是对只从事过应用程序的读者而言，要理解内核编程环境的特殊性，就很需要一些功夫和悟性了。在应用程序中，多线程的情况已经带来了一定理解的困难；而内核代码呢？几乎无时无刻不运行在多线程之下。它从哪里开始？从哪里结束？它在什么进程内运行？这些问题一言难尽。
2.1 内核编程的环境 18
2.1.1 隔离的应用程序 18
2.1.2 共享的内核空间 19
2.1.3 无处不在的内核模块 20
2.2 数据类型 21
2.2.1 基本数据类型 21
2.2.2 返回状态 22
2.2.3 字符串 23
2.3 重要的数据结构 23
2.3.1 驱动对象 23
2.3.2 设备对象 25
2.3.3 请求 26
2.4 函数调用 28
2.4.1 查阅帮助 28
2.4.2 帮助中有的几类函数 30
2.4.3 帮助中没有的函数 32
2.5 Windows的驱动开发模型 32
2.6 WDK编程中的特殊点 33
2.6.1 内核编程的主要调用源 33
2.6.2 函数的多线程安全性 34
2.6.3 代码的中断级 36
2.6.4 WDK中出现的特殊代码 37
练习题 38
第3章 串口的过滤 40
在安全软件的开发中，串口驱动的应用并不常见。但是本书以串口驱动作为第一个介绍的实例。为何？仅仅是因为串口简单。从简单的例子入手，可以为读者带来稍许轻松的感受。
3.1 过滤的概念 41
3.1.1 设备绑定的内核API之一 41
3.1.2 设备绑定的内核API之二 43
3.1.3 生成过滤设备并绑定 43
3.1.4 从名字获得设备对象 45
3.1.5 绑定所有串口 46
3.2 获得实际数据 47
3.2.1 请求的区分 47
3.2.2 请求的结局 48
3.2.3 写请求的数据 49
3.3 完整的代码 50
3.3.1 完整的分发函数 50
3.3.2 如何动态卸载 52
3.3.3 完整的代码 53
本章的示例代码 53
练习题 54
第4章 键盘的过滤 56
键盘是很重要的输入设备！这是因为我们用键盘录入信息、用键盘输入密码，甚至用键盘编程，也用键盘著书立说。对于黑客来说，使用庞大的计算机资源去破解那些坚不可摧的加密算法，哪如偷偷地记下用户用键盘输入的密钥更加简单呢？本章专注于键盘的保护。
4.1 技术原理 57
4.1.1 预备知识 57
4.1.2 Windows中从击键到内核 58
4.1.3 键盘硬件原理 60
4.2 键盘过滤的框架 61
4.2.1 找到所有的键盘设备 61
4.2.2 应用设备扩展 64
4.2.3 键盘过滤模块的DriverEntry 65
4.2.4 键盘过滤模块的动态卸载 66
4.3 键盘过滤的请求处理 68
4.3.1 通常的处理 68
4.3.2 PNP的处理 69
4.3.3 读的处理 70
4.3.4 读完成的处理 71
4.4 从请求中打印出按键信息 72
4.4.1 从缓冲区中获得KEYBOARD_INPUT_DATA 72
4.4.2 从KEYBOARD_INPUT_DATA中得到键 73
4.4.3 从MakeCode到实际字符 74
4.5 Hook分发函数 75
4.5.1 获得类驱动对象 76
4.5.2 修改类驱动的分发函数指针 77
4.5.3 类驱动之下的端口驱动 78
4.5.4 端口驱动和类驱动之间的协作机制 79
4.5.5 找到关键的回调函数的条件 80
4.5.6 定义常数和数据结构 80
4.5.7 打开两种键盘端口驱动寻找设备 81
4.5.8 搜索在KbdClass类驱动中的地址 83
4.6 Hook键盘中断反过滤 86
4.6.1 中断：IRQ和INT 86
4.6.2 如何修改IDT 87
4.6.3 替换IDT中的跳转地址 88
4.6.4 QQ的PS/2反过滤措施 90
4.7 利用IOAPIC重定位中断处理函数 90
4.7.1 什么是IOAPIC 90
4.7.2 如何访问IOAPIC 91
4.7.3 编程修改IOAPIC重定位表 92
4.7.4 插入新的中断处理 93
4.7.5 驱动入口和卸载的实现 95
4.8 直接用端口操作键盘 96
4.8.1 读取键盘数据和命令端口 96
4.8.2 p2cUserFilter的最终实现 97
本章的示例代码 98
练习题 99
第5章 磁盘的虚拟 100
CPU是计算机的核心，但是它不保存信息。如果它被窃，我们可以简单地购买一个新的。但是如果装满了机密信息的硬盘被窃了，那可就不是买一个新的就能弥补得了的。本章介绍硬盘内核魔术：虚拟硬盘。虚拟硬盘可以不被盗窃者利用吗？良好的设计可以做到这一点。
5.1 虚拟的磁盘 101
5.2 一个具体的例子 101
5.3 入口函数 102
5.3.1 入口函数的定义 102
5.3.2 Ramdisk驱动的入口函数 103
5.4 EvtDriverDeviceAdd函数 104
5.4.1 EvtDriverDeviceAdd的定义 104
5.4.2 局部变量的声明 105
5.4.3 磁盘设备的创建 105
5.4.4 如何处理发往设备的请求 107
5.4.5 用户配置的初始化 108
5.4.6 链接给应用程序 110
5.4.7 小结 111
5.5 FAT12/16磁盘卷初始化 111
5.5.1 磁盘卷结构简介 111
5.5.2 Ramdisk对磁盘的初始化 113
5.6 驱动中的请求处理 119
5.6.1 请求的处理 119
5.6.2 读/写请求 120
5.6.3 DeviceIoControl请求 122
5.7 Ramdisk的编译和安装 124
5.7.1 编译 124
5.7.2 安装 125
5.7.3 对安装的深入探究 125
练习题 126
第6章 磁盘过滤 127
很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题：重启之后，对硬盘的修改都奇迹般地消失了。这是怎么实现的呢？本章告诉您答案。
6.1 磁盘过滤驱动的概念 128
6.1.1 设备过滤和类过滤 128
6.1.2 磁盘设备和磁盘卷设备过滤驱动 128
6.1.3 注册表和磁盘卷设备过滤驱动 129
6.2 具有还原功能的磁盘卷过滤驱动 129
6.2.1 简介 129
6.2.2 基本思想 130
6.3 驱动分析 130
6.3.1 DriverEntry函数 130
6.3.2 AddDevice函数 132
6.3.3 PnP请求的处理 136
6.3.4 Power请求的处理 140
6.3.5 DeviceIoControl请求的处理 140
6.3.6 bitmap的作用和分析 144
6.3.7 boot驱动完成回调函数和稀疏文件 150
6.3.8 读/写请求的处理 152
6.3.9 示例代码 160
6.3.10 练习题 161
第7章 文件系统的过滤与监控 162
硬盘是硬盘，而文件系统是文件系统，可是有的人总是把它们当做一回事。其实硬盘很简单，硬盘就是一个很简单的保存信息的盒子；而复杂的是文件系统，它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家，我们当然不能让文件系统脱离我们的控制之外。
7.1 文件系统的设备对象 163
7.1.1 控制设备与卷设备 163
7.1.2 生成自己的一个控制设备 165
7.2 文件系统的分发函数 166
7.2.1 普通的分发函数 166
7.2.2 文件过滤的快速IO分发函数 167
7.2.3 快速IO分发函数的一个实现 169
7.2.4 快速IO分发函数逐个简介 170
7.3 设备的绑定前期工作 172
7.3.1 动态地选择绑定函数 172
7.3.2 注册文件系统变动回调 173
7.3.3 文件系统变动回调的一个实现 175
7.3.4 文件系统识别器 176
7.4 文件系统控制设备的绑定 177
7.4.1 生成文件系统控制设备的过滤设备 177
7.4.2 绑定文件系统控制设备 178
7.4.3 利用文件系统控制请求 180
7.5 文件系统卷设备的绑定 183
7.5.1 从IRP中获得VPB指针 183
7.5.2 设置完成函数并等待IRP完成 184
7.5.3 卷挂载IRP完成后的工作 187
7.5.4 完成函数的相应实现 190
7.5.5 绑定卷的实现 191
7.6 读/写操作的过滤 193
7.6.1 设置一个读处理函数 193
7.6.2 设备对象的区分处理 194
7.6.3 解析读请求中的文件信息 195
7.6.4 读请求的完成 198
7.7 其他操作的过滤 202
7.7.1 文件对象的生存周期 202
7.7.2 文件的打开与关闭 203
7.7.3 文件的删除 205
7.8 路径过滤的实现 206
7.8.1 取得文件路径的3种情况 206
7.8.2 打开成功后获取路径 207
7.8.3 在其他时刻获得文件路径 209
7.8.4 在打开请求完成之前获得路径名 209
7.8.5 把短名转换为长名 211
7.9 把sfilter编译成静态库 212
7.9.1 如何方便地使用sfilter 212
7.9.2 初始化回调、卸载回调和绑定回调 213
7.9.3 绑定与回调 215
7.9.4 插入请求回调 216
7.9.5 如何利用sfilter.lib 218
本章的示例代码 221
练习题 221
第8章 文件系统透明加密 223
如何阻止企业的机密文件被主动泄密，但是又不用关闭网络、禁止U盘等手段重重束缚大家？很多迹象表明，文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统，那么现在，该是我们摩拳擦掌，用它来保护我们的机密信息的时候了。
8.1 文件透明加密的应用 224
8.1.1 防止企业信息泄密 224
8.1.2 文件透明加密防止企业信息泄密 224
8.1.3 文件透明加密软件的例子 225
8.2 区分进程 226
8.2.1 机密进程与普通进程 226
8.2.2 找到进程名字的位置 227
8.2.3 得到当前进程的名字 228
8.3 内存映射与文件缓冲 229
8.3.1 记事本的内存映射文件 229
8.3.2 Windows的文件缓冲 230
8.3.3 文件缓冲：明文还是密文的选择 232
8.3.4 清除文件缓冲 233
8.4 加密标识 236
8.4.1 保存在文件外、文件头还是文件尾 236
8.4.2 隐藏文件头的大小 237
8.4.3 隐藏文件头的设置偏移 239
8.4.4 隐藏文件头的读/写偏移 240
8.5 文件加密表 241
8.5.1 何时进行加密操作 241
8.5.2 文件控制块与文件对象 242
8.5.3 文件加密表的数据结构与初始化 243
8.5.4 文件加密表的操作：查询 244
8.5.5 文件加密表的操作：添加 245
8.5.6 文件加密表的操作：删除 246
8.6 文件打开处理 248
8.6.1 直接发送IRP进行查询与设置操作 248
8.6.2 直接发送IRP进行读/写操作 250
8.6.3 文件的非重入打开 252
8.6.4 文件的打开预处理 255
8.7 读写加密/解密 260
8.7.1 在读取时进行解密 260
8.7.2 分配与释放MDL 261
8.7.3 写请求加密 262
8.8 crypt_file的组装 265
8.8.1 crypt_file的初始化 265
8.8.2 crypt_file的IRP预处理 266
8.8.3 crypt_file的IRP后处理 269
本章的示例代码 272
练习题 272
第9章 文件系统微过滤驱动 273
从来都不原地踏步的微软，早就准备好了下一代的文件系统过滤的框架、文档、代码例子。虽然本书的前两章的范例在Windows 7上都还可以正常运行，但是如果不学习一下最新的接口，读者一定会觉得不自在。但是读者可以放心，在前面学习的基础上，了解新的接口是易如反掌的。
9.1 文件系统微过滤驱动简介 274
9.1.1 文件系统微过滤驱动的由来 274
9.1.2 Minifilter的优点与不足 275
9.2 Minifilter的编程框架 275
9.2.1 微文件系统过滤的注册 276
9.2.2 微过滤器的数据结构 277
9.2.3 卸载回调函数 280
9.2.4 预操作回调函数 281
9.2.5 后操作回调函数 284
9.2.6 其他回调函数 285
9.3 Minifilter如何与应用程序通信 288
9.3.1 建立通信端口的方法 288
9.3.2 在用户态通过DLL使用通信端口的范例 290
9.4 Minifilter的安装与加载 292
9.4.1 安装Minifilter的INF文件 293
9.4.2 启动安装完成的Minifilter 294
本章的示例代码 295
练习题 295
第10章 网络传输层过滤 296
笔者常常使用防火墙，它们看上去真的很神奇。如果怀疑自己的机器上有见不得人的进程打开了网络端口盗走机密信息，防火墙将提醒您，虽然防火墙并不知道它是否是一个木马。这是怎么做到的？本章为您揭晓谜底。
10.1 TDI概要 297
10.1.1 为何选择TDI 297
10.1.2 从socket到Windows内核 297
10.1.3 TDI过滤的代码例子 299
10.2 TDI的过滤框架 299
10.2.1 绑定TDI的设备 299
10.2.2 唯一的分发函数 300
10.2.3 过滤框架的实现 302
10.2.4 主要过滤的请求类型 304
10.3 生成请求：获取地址 305
10.3.1 过滤生成请求 305
10.3.2 准备解析IP地址与端口 307
10.3.3 获取生成的IP地址和端口 308
10.3.4 连接终端的生成与相关信息的保存 310
10.4 控制请求 311
10.4.1 TDI_ASSOCIATE_ADDRESS的过滤 311
10.4.2 TDI_CONNECT的过滤 313
10.4.3 其他的次功能号 314
10.4.4 设置事件的过滤 316
10.4.5 TDI_EVENT_CONNECT类型的设置事件的过滤 318
10.4.6 直接获取发送函数的过滤 320
10.4.7 清理请求的过滤 322
10.5 本书例子tdifw.lib的应用 323
10.5.1 tdifw库的回调接口 323
10.5.2 tdifw库的使用例子 325
本章的示例代码 326
练习题 327
第11章 NDIS协议驱动 328
网络的连接只是外表而已，实际上，最终它们变成了一个个在网线上往返的网络包。高明的黑客是不会去用Socket来生成连接的。把黑暗的信息隐藏在单个的数据包里，你还可以发现它们吗？本章介绍的NDIS协议驱动，是Windows网络抓包工具的基础。
11.1 以太网包和网络驱动架构 329
11.1.1 以太网包和协议驱动 329
11.1.2 NDIS网络驱动 330
11.2 协议驱动的DriverEntry 331
11.2.1 生成控制设备 331
11.2.2 注册协议 333
11.3 协议与网卡的绑定 335
11.3.1 协议与网卡的绑定概念 335
11.3.2 绑定回调处理的实现 335
11.3.3 协议绑定网卡的API 338
11.3.4 解决绑定竞争问题 339
11.3.5 分配接收和发送的包池与缓冲池 340
11.3.6 OID请求的发送和请求完成回调 342
11.3.7 ndisprotCreateBinding的最终实现 345
11.4 绑定的解除 351
11.4.1 解除绑定使用的API 351
11.4.2 ndisprotShutdownBinding的实现 353
11.5 在用户态操作协议驱动 356
11.5.1 协议的收包与发包 356
11.5.2 在用户态编程打开设备 357
11.5.3 用DeviceIoControl发送控制请求 358
11.5.4 用WriteFile发送数据包 360
11.5.5 用ReadFile发送数据包 362
11.6 在内核态完成功能的实现 363
11.6.1 请求的分发与实现 363
11.6.2 等待设备绑定完成与指定设备名 364
11.6.3 指派设备的完成 365
11.6.4 处理读请求 368
11.6.5 处理写请求 370
11.7 协议驱动的接收回调 374
11.7.1 和接收包有关的回调函数 374
11.7.2 ReceiveHandler的实现 376
11.7.3 TransferDataCompleteHandler的实现 380
11.7.4 ReceivePacketHandler的实现 381
11.7.5 接收数据包的入队 383
11.7.6 接收数据包的出队和读请求的完成 385
本章的示例代码 388
练习题 389
第12章 NDIS小端口驱动 390
如果厌烦了漏洞百出的以太网，还有什么可以充当我的网络接口吗？当然，一切能通信的设备，皆有替代以太网的潜质。即使您不愿意修改无数通过TCP接口编程的应用程序，我们依然可以用其他通信设备来虚拟网卡。本章介绍小端口驱动来虚拟网卡的技术。
12.1 小端口驱动的应用与概述 391
12.1.1 小端口驱动的应用 391
12.1.2 小端口驱动的实例 392
12.1.3 小端口驱动的运作与编程概述 393
12.2 小端口驱动的初始化 393
12.2.1 小端口驱动的DriverEntry 393
12.2.2 小端口驱动的适配器结构 396
12.2.3 配置信息的读取 397
12.2.4 设置小端口适配器上下文 398
12.2.5 MPInitialize的实现 399
12.2.6 MPHalt的实现 402
12.3 打开ndisprot设备 403
12.3.1 I/O目标 403
12.3.2 给IO目标发送DeviceIoControl请求 404
12.3.3 打开ndisprot接口并完成配置设备 406
12.4 使用ndisprot发送包 409
12.4.1 小端口驱动的发包接口 409
12.4.2 发送控制块（TCB） 409
12.4.3 遍历包组并填写TCB 412
12.4.4 写请求的构建与发送 415
12.5 使用ndisprot接收包 417
12.5.1 提交数据包的内核API 417
12.5.2 从接收控制块（RCB）提交包 418
12.5.3 对ndisprot读请求的完成函数 420
12.5.4 读请求的发送 422
12.5.5 用于读包的WDF工作任务 424
12.5.6 ndisedge读工作任务的生成与入列 426
12.6 其他的特征回调函数的实现 428
12.6.1 包的归还 428
12.6.2 OID查询处理的直接完成 429
12.6.3 OID设置处理 432
本章的示例代码 433
练习题 434
第13章 NDIS中间层驱动 435
当我们不满足于抓包和发包，而试图控制本机上流入和流出的所有数据包的时候，NDIS中间层驱动是最终的选择。防火墙的功能在这里得到加强：我们不再满足于看到连接、端口、对方IP地址，而是要看到每一个数据包的原始结构。本章介绍NDIS中间层驱动。
13.1 NDIS中间层驱动概述 436
13.1.1 Windows网络架构总结 436
13.1.2 NDIS中间层驱动简介 437
13.1.3 NDIS中间层驱动的应用 438
13.1.4 NDIS包描述符结构深究 439
13.2 中间层驱动的入口与绑定 442
13.2.1 中间层驱动的入口函数 442
13.2.2 动态绑定NIC设备 443
13.2.3 小端口初始化（MpInitialize） 445
13.3 中间层驱动发送数据包 447
13.3.1 发送数据包原理 447
13.3.2 包描述符“重利用” 448
13.3.3 包描述符“重申请” 451
13.3.4 发送数据包的异步完成 453
13.4 中间层驱动接收数据包 455
13.4.1 接收数据包概述 455
13.4.2 用PtReceive接收数据包 456
13.4.3 用PtReceivePacket接收 461
13.4.4 对包进行过滤 463
13.5 中间层驱动程序查询和设置 466
13.5.1 查询请求的处理 466
13.5.2 设置请求的处理 468
13.6 NDIS句柄 470
13.6.1 不可见的结构指针 470
13.6.2 常见的NDIS句柄 471
13.6.3 NDIS句柄误用问题 473
13.6.4 一种解决方案 475
13.7 生成普通控制设备 476
13.7.1 在中间层驱动中添加普通设备 476
13.7.2 使用传统方法来生成控制设备 478
本章的示例代码 483
练习题 483
附录A 如何使用本书的源码光盘 485