- 深入解析Windows操作系统(第7版卷2)
- - 作者：(美)安德里亚·阿列维//亚历克斯·伊奥尼斯库//马克·E.鲁辛诺维奇//大卫·A.所罗门|责编:佘洁|译者:刘晖
  - 出版社：人民邮电
  - ISBN：9787115619747
  - 出版日期：2024/02/01
  - 页数：723
- 售价：79.92

内容大纲
本书剖析了Windows核心组件行为方式的“内部原理”，主要内容包括服务设备驱动程序和应用程序的系统机制（ALPC、对象管理器、同步、WNF、WoW64和处理器执行模型）、底层硬件架构（陷阱处理、分段和侧信道漏洞）、Windows虚拟化技术（包括基于虚拟化的安全、如何防范操作系统漏洞），以及操作系统为进行管理、配置和诊断所实现的底层机制细节，缓存管理器和文件系统驱动程序如何交互以提供对文件、目录和磁盘的可靠支持等。
本书适合经验丰富的程序员、架构师、软件质量和性能专家、安全从业人员和支持专家及Windows高级用户阅读。
作者介绍
目录
第8章  系统机制
  8.1  处理器执行模型
    8.1.1  段
    8.1.2  任务状态段
  8.2  硬件侧信道漏洞
    8.2.1  乱序执行
    8.2.2  CPU分支预测器
    8.2.3  CPU缓存
    8.2.4  侧信道攻击
  8.3  Windows中的侧信道缓解措施
    8.3.1  KVA影子
    8.3.2  硬件间接分支控制（IBRS、IBPB、STIBP、SSBD）
    8.3.3  Retpoline和导入优化
    8.3.4  STIBP配对
  8.4  陷阱分发
    8.4.1  中断分发
    8.4.2  基于线的中断和基于消息信号的中断
    8.4.3  计时器处理
    8.4.4  系统工作线程
    8.4.5  异常分发
    8.4.6  系统服务处理
  8.5  WoW64（Windows-on-Windows）
    8.5.1  WoW64核心
    8.5.2  文件系统重定向
    8.5.3  注册表重定向
    8.5.4  AMD64平台上的x86模拟
    8.5.5  ARM
    8.5.6  内存模型
    8.5.7  ARM64平台上的ARM32模拟
    8.5.8  ARM64平台上的x86模拟
  8.6  对象管理器
    8.6.1  执行体对象
    8.6.2  对象结构
  8.7  同步
    8.7.1  高IRQL同步
    8.7.2  低IRQL同步
  8.8  高级本地过程调用
    8.8.1  连接模型
    8.8.2  消息模型
    8.8.3  异步操作
    8.8.4  视图、区域和节
    8.8.5  特性
    8.8.6  Blob、句柄和资源
    8.8.7  句柄的传递
    8.8.8  安全性
    8.8.9  性能
    8.8.10  电源管理
    8.8.11  ALPC直接事件特性
    8.8.12  调试和跟踪
  8.9  Windows通知设施

    8.9.1  WNF功能
    8.9.2  WNF用户
    8.9.3  WNF状态名称和存储
    8.9.4  WNF事件聚合
  8.10  用户模式调试
    8.10.1  内核支持
    8.10.2  原生支持
    8.10.3  Windows子系统支持
  8.4  打包的应用程序
    8.4.1  UWP应用程序
    8.4.2  Centennial应用程序
    8.4.3  主机活动管理器
    8.4.4  状态存储库
    8.4.5  依赖项小型存储库
    8.4.6  后台任务和代理基础架构
    8.4.7  打包应用程序的安装和启动
    8.4.8  程序包激活
    8.4.9  程序包注册
  8.5  总结
第9章  ：虚拟化技术
  9.1  Windows虚拟机监控程序
    9.1.1  分区、进程和线程
    9.1.2  虚拟机监控程序的启动
    9.1.3  虚拟机监控程序内存管理器
    9.1.4  Hyper-V调度器
    9.1.5  虚拟化调用和虚拟机监控程序TLFS
    9.1.6  拦截
    9.1.7  综合中断控制器（SynIC）
    9.1.8  Windows虚拟机监控程序平台API和EXO分区
    9.1.9  嵌套虚拟化
    9.1.10  ARM64上的Windows虚拟机监控程序
  9.2  虚拟化栈
    9.2.1  虚拟机管理器服务和工作进程
    9.2.2  VID驱动程序和虚拟化栈内存管理器
    9.2.3  虚拟机的诞生
    9.2.4  VMBus
    9.2.5  虚拟硬件支持
    9.2.6  VA支持的虚拟机
  9.3  基于虚拟化的安全性（VBS）
    9.3.1  虚拟信任级别（VTL）和虚拟安全模式（VSM）
    9.3.2  VSM提供的服务及其要求
  9.4  安全内核
    9.4.1  虚拟中断
    9.4.2  安全拦截
    9.4.3  VSM系统调用
    9.4.4  安全线程和调度
    9.4.5  虚拟机监控程序实施的代码完整性
    9.4.6  UEFI运行时虚拟化
    9.4.7  VSM启动
    9.4.8  安全内核内存管理器

    9.4.9  热修补
  9.5  隔离用户模式
    9.5.1  Trustlet的创建
    9.5.2  安全设备
    9.5.3  基于VBS的隔区
    9.5.4  系统防护运行时认证
  9.6  总结
第 10章  ：管理、诊断和跟踪
  10.1  注册表
    10.1.1  查看和更改注册表
    10.1.2  注册表的使用
    10.1.3  注册表数据类型
    10.1.4  注册表的逻辑结构
    10.1.5  应用程序配置单元
    10.1.6  事务型注册表（TxR）
    10.1.7  监控注册表活动
    10.1.8  Process Monitor内部原理
    10.1.9  注册表的内部原理
    10.1.10  配置单元重组
    10.1.11  注册表的命名空间和操作
    10.1.12  稳定存储
    10.1.13  注册表过滤
    10.1.14  注册表虚拟化
    10.1.15  注册表优化
  10.2  Windows服务
    10.2.1  服务应用程序
    10.2.2  服务账户
    10.2.3  服务控制管理器（SCM）
    10.2.4  服务控制程序
    10.2.5  自启动服务的启动
    10.2.6  延迟的自启动服务
    10.2.7  触发启动的服务
    10.2.8  启动错误
    10.2.9  接受启动和最近一次的正确配置
    10.2.10  服务故障
    10.2.11  服务关闭
    10.2.12  共享服务进程
    10.2.13  服务标签
    10.2.14  用户服务
    10.2.15  打包的服务
    10.2.16  受保护服务
  10.3  任务计划和UBPM
    10.3.1  任务计划程序
    10.3.2  统一后台进程管理器（UBPM）
    10.3.3  任务计划程序COM接口
  10.4  Windows管理规范
    10.4.1  WMI架构
    10.4.2  WMI提供程序
    10.4.3  通用信息模型和管理对象格式语言
    10.4.4  类关联

    10.4.5  WMI的实现
    10.4.6  WMI的安全性
  10.5  Windows事件跟踪（ETW）
    10.5.1  ETW初始化
    10.5.2  ETW会话
    10.5.3  ETW提供程序
    10.5.4  提供事件
    10.5.5  ETW记录器线程
    10.5.6  事件的消费
    10.5.7  系统记录器
    10.5.8  ETW的安全性
  10.6  动态跟踪（DTrace）
    10.6.1  内部架构
    10.6.2  DTrace类型库
  10.7  Windows错误报告（WER）
    10.7.1  用户应用程序崩溃
    10.7.2  内核模式（系统）崩溃
    10.7.3  进程挂起检测
  10.8  全局标记
  10.9  内核填充码
    10.9.1  填充码引擎初始化
    10.9.2  填充码数据库
    10.9.3  驱动程序填充码
    10.9.4  设备填充码
  10.10  结论
第 11章  ：缓存和文件系统
  11.1  术语
  11.2  缓存管理器的重要功能
    11.2.1  单一集中化系统缓存
    11.2.2  内存管理器
    11.2.3  缓存的一致性
    11.2.4  虚拟块缓存
    11.2.5  基于流的缓存
    11.2.6  可恢复文件系统支持
    11.2.7  NTFS MFT工作集的增强
    11.2.8  内存分区支持
  11.3  缓存虚拟内存管理
  11.4  缓存大小
    11.4.1  缓存虚拟大小
    11.4.2  缓存工作集大小
    11.4.3  缓存的物理大小
  11.5  缓存数据结构
    11.5.1  系统级缓存数据结构
    11.5.2  每文件缓存数据结构
  11.6  文件系统接口
    11.6.1  向/从缓存复制
    11.6.2  通过映射和固定接口进行缓存
    11.6.3  通过直接内存访问接口进行缓存
  11.7  快速I/O
  11.8  预读取和延后写入

    11.8.1  智能预读取
    11.8.2  预读取的增强
    11.8.3  回写缓存和惰性写入
    11.8.4  为某个文件禁用惰性写入
    11.8.5  强制缓存直接写入磁盘
    11.8.6  刷新映射的文件
    11.8.7  写入限流
    11.8.8  系统线程
    11.8.9  激进的后写入和低优先级惰性写入
    11.8.10  动态内存
    11.8.11  缓存管理器的磁盘I/O记账
  11.9  文件系统
    11.9.1  Windows文件系统格式
    11.9.2  CDFS
    11.9.3  UDF
    11.9.4  FAT12、FAT16和FAT32
    11.9.5  exFAT
    11.9.6  NTFS
    11.9.7  ReFS
    11.9.8  文件系统驱动程序架构
    11.9.9  本地FSD
    11.9.10  远程FSD
    11.9.11  文件系统操作
    11.9.12  显式文件I/O
    11.9.13  内存管理器的已修改和已映射页写入器
    11.9.14  缓存管理器的惰性写入器
    11.9.15  缓存管理器的预读取线程
    11.9.16  内存管理器的页面错误处理程序
    11.9.17  文件系统过滤器驱动程序和微过滤器
    11.9.18  过滤命名管道和邮件槽
    11.9.19  控制重分析点的行为
    11.9.20  Process Monitor
  11.10  NT文件系统（NTFS）
    11.10.1  高端文件系统的要求
    11.10.2  可恢复性
    11.10.3  安全性
    11.10.4  数据冗余和容错
    11.10.5  NTFS的高级功能
    11.10.6  多个数据流
    11.10.7  基于Unicode的名称
    11.10.8  通用索引设施
    11.10.9  动态坏簇重映射
    11.10.10  硬链接
    11.10.11  符号（软）链接和交叉
    11.10.12  压缩和稀疏文件
    11.10.13  变更日志记录
    11.10.14  每用户卷配额
    11.10.15  链接跟踪
    11.10.16  加密
    11.10.17  POSIX风格的删除语义

    11.10.18  碎片整理
    11.10.19  动态分区
    11.10.20  NTFS对分层卷的支持
  11.11  NTFS文件系统驱动程序
  11.12  NTFS的磁盘结构
    11.12.1  卷
    11.12.2  簇
    11.12.3  主文件表
    11.12.4  文件记录编号
    11.12.5  文件记录
    11.12.6  文件名
    11.12.7  隧道
    11.12.8  常驻和非常驻属性
    11.12.9  数据压缩和稀疏文件
    11.12.10  压缩稀疏数据
    11.12.11  非稀疏数据的压缩
    11.12.12  稀疏文件
    11.12.13  变更日志文件
    11.12.14  索引
    11.12.15  对象ID
    11.12.16  配额跟踪
    11.12.17  综合安全性
    11.12.18  重分析点
    11.12.19  存储保留和NTFS预留
    11.12.20  事务支持
    11.12.21  隔离
    11.12.22  事务型API
    11.12.23  磁盘上的实现
    11.12.24  日志记录的实现
  11.13  NTFS恢复支持
    11.13.1  设计
    11.13.2  元数据日志记录
    11.13.3  日志文件服务
    11.13.4  日志记录类型
    11.13.5  恢复
    11.13.6  分析扫描
    11.13.7  重做扫描
    11.13.8  撤销扫描
    11.13.9  NTFS坏簇恢复
    11.13.10  自治愈
    11.13.11  联机磁盘检查和快速修复
  11.14  加密文件系统
    11.14.1  首次加密文件
    11.14.2  解密过程
    11.14.3  备份加密的文件
    11.14.4  复制加密的文件
    11.14.5  BitLocker加密卸载
    11.14.6  联机加密支持
  11.15  直接访问（DAX）磁盘
    11.15.1  DAX驱动程序模型

    11.15.2  DAX卷
    11.15.3  DAX卷上缓存和未缓存的I/O
    11.15.4  可执行映像的映射
    11.15.5  块卷
    11.15.6  文件系统过滤器驱动程序和DAX
    11.15.7  刷新DAX模式的I/O
    11.15.8  大型和巨型页的支持
    11.15.9  虚拟PM磁盘和存储空间支持
  11.16  复原文件系统（ReFS）
    11.16.1  Minstore架构
    11.16.2  B+树的物理布局
    11.16.3  分配器
    11.16.4  页表
    11.16.5  Minstore I/O
    11.16.6  ReFS架构
    11.16.7  ReFS在磁盘上的结构
    11.16.8  对象ID
    11.16.9  安全性和变更日志
  11.17  ReFS高级功能
    11.17.1  文件块克隆（快照支持）和稀疏VDL
    11.17.2  ReFS直写
    11.17.3  ReFS恢复支持
    11.17.4  泄漏检测
    11.17.5  叠瓦式磁记录（SMR）卷
    11.17.6  ReFS对分层卷和SMR的支持
    11.17.7  容器压实
    11.17.8  压缩和幻象
  11.18  存储空间
    11.18.1  存储空间的内部架构
    11.18.2  存储空间提供的服务
  11.19  总结
第 12章  启动和关机
  12.1  引导过程
    12.1.1  UEFI引导
    12.1.2  BIOS引导过程
    12.1.3  安全启动
    12.1.4  Windows启动管理器
    12.1.5  启动菜单
    12.1.6  运行启动应用程序
    12.1.7  测量启动
    12.1.8  受信任执行
    12.1.9  Windows操作系统加载器
    12.1.10  从iSCSI启动
    12.1.11  虚拟机监控程序加载器
    12.1.12  VSM启动策略
    12.1.13  安全运行
    12.1.14  初始化内核与执行体子系统
    12.1.15  内核初始化的第一阶段
    12.1.16  Smss、Csrss和Wininit
    12.1.17  ReadyBoot

    12.1.18  自动启动的映像
    12.1.19  关机
    12.1.20  休眠和快速启动
    12.1.21  Windows恢复环境（WinRE）
    12.1.22  安全模式
    12.1.23  安全模式下加载的驱动程序
    12.1.24  可感知安全模式的用户程序
    12.1.25  启动状态文件
  12.2  结论

内容大纲

作者介绍

目录

同类热销排行榜

推荐书目