深入解析Windows操作系统 （第7版）（卷2）

本书剖析了Windows核心组件行为方式的“内部原理”，主要内容包括服务设备驱动程序和应用程序的系统机制（ALPC、对象管理器、同步、WNF、WoW64 和处理器执行模型）、底层硬件架构（陷阱处理、分段和侧信道漏洞）、 Windows 虚拟化技术（包括基于虚拟化的安全、如何防范操作系统漏洞），以及操作系统为进行管理、配置和诊断所实现的底层机制细节，缓存管理器和文件系统驱动程序如何交互以提供对文件、目录和磁盘的可靠支持等。

安德里亚·阿列维（Andrea Allievi）是一名系统级开发者和安全研究工程师，拥有超过15年的从业经验。他于2010年从米兰-比可卡大学（University of Milano-Bicocca）毕业，并获得计算机科学学士学位。在毕业论文中，他开发了一种能攻击所有Windows 7内核保护机制（PatchGuard和驱动程序强制签名）的64位主引导记录（MBR）Bootkit。安德里亚还是一名逆向工程师，专精于从内核级代码到用户模式代码的操作系统内部原理。他是全球首款UEFI Bootkit（出于研究目的开发，并于2012年对外公布）的初始作者，开发过多种能绕过PatchGuard机制的技术，并撰写了大量研究论文和文章。同时他还开发了多款用于移除恶意软件并消除高级持续威胁的系统工具和软件。在职业生涯中，他曾就职于多家计算机安全公司，包括意大利的TgSoft、Saferbytes（现已被MalwareBytes收购）以及思科旗下的Talos安全团队。他最初于2016年加入微软，在微软威胁情报中心（MSTIC）担任安全研究工程师。自2018年1月起，安德里亚开始在微软内核安全核心团队担任资深操作系统内核工程师，主要负责为NT和安全内核（Secure Kernel）维护并开发新功能（例如Retpoline以及CPU预测执行漏洞缓解措施）。 安德里亚依然活跃在安全研究社区中，并通过Microsoft Windows Internals博客撰写和发布了多篇有关Windows内核新功能的技术文章，同时曾在多场技术大会（如Recon以及微软BlueHat）上发言。你可通过Twitter关注他：@aall86。 亚历克斯·伊奥尼斯库（Alex Ionescu）是CrowdStrike公司端点工程副总裁兼创始首席架构师，他是一位世界级的安全架构师，也是底层系统软件、内核开发、安全培训以及逆向工程领域的顾问专家。二十多年来，他的安全研究工作为Windows内核及其相关组件中几十个关键安全漏洞以及多种错误行为的修复工作提供了巨大帮助。 亚历克斯曾担任ReactOS（一种从零开始编写的开源Windows克隆系统）的首席内核开发者，他为其开发了大部分基于Windows NT的子系统。在计算机科学专业学习期间，亚历克斯曾在负责开发iPhone、iPad以及Apple TV的苹果公司初始核心平台团队从事iOS内核、引导加载器以及驱动程序的研发工作。亚历克斯还是Winsider Seminars & Solutions公司的创始人，该公司专精于底层系统软件和逆向工程，并向众多机构提供安全培训。 亚历克斯在社区中非常活跃，曾在全球二十多场活动中发表演讲。他也为全球组织和个人提供有关Windows内部原理的培训、支持和相关资源。你可以通过Twitter关注他：@aionescu，或访问他的博客：www.alex-ionescu.com以及www.windows-internals.com/blog。

目录 第8章 系统机制 错误！未定义书签。 8.1处理器执行模型 错误！未定义书签。 8.1.1段 错误！未定义书签。 8.1.2任务状态段 错误！未定义书签。 8.2硬件侧信道漏洞 错误！未定义书签。 8.2.1乱序执行 错误！未定义书签。 8.2.2 CPU分支预测器 错误！未定义书签。 8.2.3 CPU缓存 错误！未定义书签。 8.2.4 侧信道攻击 错误！未定义书签。 8.3 Windows中的侧信道缓解措施 错误！未定义书签。 8.3.1 KVA影子 错误！未定义书签。 8.3.2 硬件间接分支控制（IBRS、IBPB、STIBP、SSBD） 错误！未定义书签。 8.3.3 Retpoline和导入优化 错误！未定义书签。 8.3.4 STIBP配对 错误！未定义书签。 8.4 陷阱分发 错误！未定义书签。 8.4.1中断分发 错误！未定义书签。 8.4.2基于线的中断和基于消息信号的中断 错误！未定义书签。 8.4.3计时器处理 错误！未定义书签。 8.4.4系统工作线程 错误！未定义书签。 8.4.5 异常分发 错误！未定义书签。 8.4.6系统服务处理 错误！未定义书签。 8.5 WoW64（Windows-on-Windows） 错误！未定义书签。 8.5.1 WoW64核心 错误！未定义书签。 8.5.2文件系统重定向 错误！未定义书签。 8.5.3注册表重定向 错误！未定义书签。 8.5.4AMD64平台上的x86模拟 错误！未定义书签。 8.5.5 ARM 错误！未定义书签。 8.5.6内存模型 错误！未定义书签。 8.5.7 ARM64平台上的ARM32模拟 错误！未定义书签。 8.5.8 ARM64平台上的x86模拟 错误！未定义书签。 8.6对象管理器 错误！未定义书签。 8.6.1执行体对象 错误！未定义书签。 8.6.2对象结构 错误！未定义书签。 8.7同步 错误！未定义书签。 8.7.1高IRQL同步 错误！未定义书签。 8.7.2低IRQL同步 错误！未定义书签。 8.8 高级本地过程调用 错误！未定义书签。 8.8.1连接模型 错误！未定义书签。 8.8.2消息模型 错误！未定义书签。 8.8.3异步操作 错误！未定义书签。 8.8.4视图、区域和节 错误！未定义书签。 8.8.5特性 错误！未定义书签。 8.8.6 Blob、句柄和资源 错误！未定义书签。 8.8.7 句柄的传递 错误！未定义书签。 8.8.8 安全性 错误！未定义书签。 8.8.9 性能 错误！未定义书签。 8.8.10电源管理 错误！未定义书签。 8.8.11 ALPC直接事件特性 错误！未定义书签。 8.8.12 调试和跟踪 错误！未定义书签。 8.9 Windows通知设施 错误！未定义书签。 8.9.1 WNF功能 错误！未定义书签。 8.9.2 WNF用户 错误！未定义书签。 8.9.3 WNF状态名称和存储 错误！未定义书签。 8.9.4 WNF事件聚合 错误！未定义书签。 8.10用户模式调试 错误！未定义书签。 8.10.1内核支持 错误！未定义书签。 8.10.2 原生支持 错误！未定义书签。 8.10.3 Windows子系统支持 错误！未定义书签。 8.4打包的应用程序 错误！未定义书签。 8.4.1 UWP应用程序 错误！未定义书签。 8.4.2 Centennial应用程序 错误！未定义书签。 8.4.3 主机活动管理器 错误！未定义书签。 8.4.4 状态存储库 错误！未定义书签。 8.4.5 依赖项小型存储库 错误！未定义书签。 8.4.6 后台任务和代理基础架构 错误！未定义书签。 8.4.7打包应用程序的安装和启动 错误！未定义书签。 8.4.8 程序包激活 错误！未定义书签。 8.4.9 程序包注册 错误！未定义书签。 8.5总结 错误！未定义书签。 第9章：虚拟化技术 错误！未定义书签。 9.1 Windows虚拟机监控程序 错误！未定义书签。 9.1.1分区、进程和线程 错误！未定义书签。 9.1.2虚拟机监控程序的启动 错误！未定义书签。 9.1.3虚拟机监控程序内存管理器 错误！未定义书签。 9.1.4 Hyper-V调度器 错误！未定义书签。 9.1.5 虚拟化调用和虚拟机监控程序TLFS 错误！未定义书签。 9.1.6 拦截 错误！未定义书签。 9.1.7 综合中断控制器（SynIC） 错误！未定义书签。 9.1.8 Windows虚拟机监控程序平台API和EXO分区 错误！未定义书签。 9.1.9 嵌套虚拟化 错误！未定义书签。 9.1.10 ARM64上的Windows虚拟机监控程序 错误！未定义书签。 9.2虚拟化栈 错误！未定义书签。 9.2.1虚拟机管理器服务和工作进程 错误！未定义书签。 9.2.2 VID驱动程序和虚拟化栈内存管理器 错误！未定义书签。 9.2.3虚拟机的诞生 错误！未定义书签。 9.2.4 VMBus 错误！未定义书签。 9.2.5虚拟硬件支持 错误！未定义书签。 9.2.6 VA支持的虚拟机 错误！未定义书签。 9.3基于虚拟化的安全性（VBS） 错误！未定义书签。 9.3.1虚拟信任级别（VTL）和虚拟安全模式（VSM） 错误！未定义书签。 9.3.2 VSM提供的服务及其要求 错误！未定义书签。 9.4安全内核 错误！未定义书签。 9.4.1虚拟中断 错误！未定义书签。 9.4.2安全拦截 错误！未定义书签。 9.4.3 VSM系统调用 错误！未定义书签。 9.4.4 安全线程和调度 错误！未定义书签。 9.4.5 虚拟机监控程序实施的代码完整性 错误！未定义书签。 9.4.6 UEFI运行时虚拟化 错误！未定义书签。 9.4.7 VSM启动 错误！未定义书签。 9.4.8 安全内核内存管理器 错误！未定义书签。 9.4.9 热修补 错误！未定义书签。 9.5 隔离用户模式 错误！未定义书签。 9.5.1Trustlet的创建 错误！未定义书签。 9.5.2安全设备 错误！未定义书签。 9.5.3基于VBS的隔区 错误！未定义书签。 9.5.4 系统防护运行时认证 错误！未定义书签。 9.6 总结 错误！未定义书签。 第 10章：管理、诊断和跟踪 错误！未定义书签。 10.1注册表 错误！未定义书签。 10.1.1查看和更改注册表 错误！未定义书签。 10.1.2 注册表的使用 错误！未定义书签。 10.1.3 注册表数据类型 错误！未定义书签。 10.1.4 注册表的逻辑结构 错误！未定义书签。 10.1.5 应用程序配置单元 错误！未定义书签。 10.1.6 事务型注册表（TxR） 错误！未定义书签。 10.1.7 监控注册表活动 错误！未定义书签。 10.1.8 Process Monitor内部原理 错误！未定义书签。 10.1.9 注册表的内部原理 错误！未定义书签。 10.1.10 配置单元重组 错误！未定义书签。 10.1.11 注册表的命名空间和操作 错误！未定义书签。 10.1.12 稳定存储 错误！未定义书签。 10.1.13 注册表过滤 错误！未定义书签。 10.1.14 注册表虚拟化 错误！未定义书签。 10.1.15 注册表优化 错误！未定义书签。 10.2 Windows服务 错误！未定义书签。 10.2.1服务应用程序 错误！未定义书签。 10.2.2 服务账户 错误！未定义书签。 10.2.3 服务控制管理器（SCM） 错误！未定义书签。 10.2.4服务控制程序 错误！未定义书签。 10.2.5自启动服务的启动 错误！未定义书签。 10.2.6延迟的自启动服务 错误！未定义书签。 10.2.7触发启动的服务 错误！未定义书签。 10.2.8启动错误 错误！未定义书签。 10.2.9接受启动和最近一次的正确配置 错误！未定义书签。 10.2.10服务故障 错误！未定义书签。 10.2.11服务关闭 错误！未定义书签。 10.2.12共享服务进程 错误！未定义书签。 10.2.13服务标签 错误！未定义书签。 10.2.14用户服务 错误！未定义书签。 10.2.15打包的服务 错误！未定义书签。 10.2.16受保护服务 错误！未定义书签。 10.3任务计划和UBPM 错误！未定义书签。 10.3.1任务计划程序 错误！未定义书签。 10.3.2统一后台进程管理器（UBPM） 错误！未定义书签。 10.3.3任务计划程序COM接口 错误！未定义书签。 10.4 Windows 管理规范 错误！未定义书签。 10.4.1 WMI架构 错误！未定义书签。 10.4.2WMI提供程序 错误！未定义书签。 10.4.3通用信息模型和管理对象格式语言 错误！未定义书签。 10.4.4类关联 错误！未定义书签。 10.4.5WMI的实现 错误！未定义书签。 10.4.6WMI的安全性 错误！未定义书签。 10.5 Windows事件跟踪（ETW） 错误！未定义书签。 10.5.1ETW初始化 错误！未定义书签。 10.5.2 ETW会话 错误！未定义书签。 10.5.3 ETW提供程序 错误！未定义书签。 10.5.4提供事件 错误！未定义书签。 10.5.5 ETW记录器线程 错误！未定义书签。 10.5.6事件的消费 错误！未定义书签。 10.5.7 系统记录器 错误！未定义书签。 10.5.8 ETW的安全性 错误！未定义书签。 10.6动态跟踪（DTrace） 错误！未定义书签。 10.6.1内部架构 错误！未定义书签。 10.6.2 DTrace类型库 错误！未定义书签。 10.7Windows错误报告（WER） 错误！未定义书签。 10.7.1用户应用程序崩溃 错误！未定义书签。 10.7.2内核模式（系统）崩溃 错误！未定义书签。 10.7.3进程挂起检测 错误！未定义书签。 10.8全局标记 错误！未定义书签。 10.9内核填充码 错误！未定义书签。 10.9.1填充码引擎初始化 错误！未定义书签。 10.9.2 填充码数据库 错误！未定义书签。 10.9.3驱动程序填充码 错误！未定义书签。 10.9.4设备填充码 错误！未定义书签。 10.10结论 错误！未定义书签。 第 11章：缓存和文件系统 错误！未定义书签。 11.1术语 错误！未定义书签。 11.2缓存管理器的重要功能 错误！未定义书签。 11.2.1单一集中化系统缓存 错误！未定义书签。 11.2.2内存管理器 错误！未定义书签。 11.2.3缓存的一致性 错误！未定义书签。 11.2.4虚拟块缓存 错误！未定义书签。 11.2.5基于流的缓存 错误！未定义书签。 11.2.6可恢复文件系统支持 错误！未定义书签。 11.2.7 NTFS MFT工作集的增强 错误！未定义书签。 11.2.8内存分区支持 错误！未定义书签。 11.3缓存虚拟内存管理 错误！未定义书签。 11.4缓存大小 错误！未定义书签。 11.4.1缓存虚拟大小 错误！未定义书签。 11.4.2缓存工作集大小 错误！未定义书签。 11.4.3缓存的物理大小 错误！未定义书签。 11.5缓存数据结构 错误！未定义书签。 11.5.1系统级缓存数据结构 错误！未定义书签。 11.5.2每文件缓存数据结构 错误！未定义书签。 11.6文件系统接口 错误！未定义书签。 11.6.1向/从缓存复制 错误！未定义书签。 11.6.2通过映射和固定接口进行缓存 错误！未定义书签。 11.6.3通过直接内存访问接口进行缓存 错误！未定义书签。 11.7快速I/O 错误！未定义书签。 11.8预读取和延后写入 错误！未定义书签。 11.8.1智能预读取 错误！未定义书签。 11.8.2预读取的增强 错误！未定义书签。 11.8.3回写缓存和惰性写入 错误！未定义书签。 11.8.4为某个文件禁用惰性写入 错误！未定义书签。 11.8.5强制缓存直接写入磁盘 错误！未定义书签。 11.8.6刷新映射的文件 错误！未定义书签。 11.8.7写入限流 错误！未定义书签。 11.8.8系统线程 错误！未定义书签。 11.8.9激进的后写入和低优先级惰性写入 错误！未定义书签。 11.8.10动态内存 错误！未定义书签。 11.8.11缓存管理器的磁盘I/O记账 错误！未定义书签。 11.9文件系统 错误！未定义书签。 11.9.1Windows文件系统格式 错误！未定义书签。 11.9.2 CDFS 错误！未定义书签。 11.9.3 UDF 错误！未定义书签。 11.9.4 FAT12、FAT16和FAT32 错误！未定义书签。 11.9.5 exFAT 错误！未定义书签。 11.9.6 NTFS 错误！未定义书签。 11.9.7 ReFS 错误！未定义书签。 11.9.8文件系统驱动程序架构 错误！未定义书签。 11.9.9本地FSD 错误！未定义书签。 11.9.10远程FSD 错误！未定义书签。 11.9.11文件系统操作 错误！未定义书签。 11.9.12显式文件I/O 错误！未定义书签。 11.9.13内存管理器的已修改和已映射页写入器 错误！未定义书签。 11.9.14缓存管理器的惰性写入器 错误！未定义书签。 11.9.15缓存管理器的预读取线程 错误！未定义书签。 11.9.16内存管理器的页面错误处理程序 错误！未定义书签。 11.9.17文件系统过滤器驱动程序和微过滤器 错误！未定义书签。 11.9.18过滤命名管道和邮件槽 错误！未定义书签。 11.9.19控制重分析点的行为 错误！未定义书签。 11.9.20 Process Monitor 错误！未定义书签。 11.10 NT文件系统（NTFS） 错误！未定义书签。 11.10.1高端文件系统的要求 错误！未定义书签。 11.10.2可恢复性 错误！未定义书签。 11.10.3安全性 错误！未定义书签。 11.10.4数据冗余和容错 错误！未定义书签。 11.10.5NTFS的高级功能 错误！未定义书签。 11.10.6多个数据流 错误！未定义书签。 11.10.7基于Unicode的名称 错误！未定义书签。 11.10.8通用索引设施 错误！未定义书签。 11.10.9动态坏簇重映射 错误！未定义书签。 11.10.10硬链接 错误！未定义书签。 11.10.11符号（软）链接和交叉 错误！未定义书签。 11.10.12压缩和稀疏文件 错误！未定义书签。 11.10.13变更日志记录 错误！未定义书签。 11.10.14每用户卷配额 错误！未定义书签。 11.10.15链接跟踪 错误！未定义书签。 11.10.16加密 错误！未定义书签。 11.10.17 POSIX风格的删除语义 错误！未定义书签。 11.10.18 碎片整理 错误！未定义书签。 11.10.19动态分区 错误！未定义书签。 11.10.20 NTFS对分层卷的支持 错误！未定义书签。 11.11 NTFS文件系统驱动程序 错误！未定义书签。 11.12 NTFS的磁盘结构 错误！未定义书签。 11.12.1卷 错误！未定义书签。 11.12.2簇 错误！未定义书签。 11.12.3主文件表 错误！未定义书签。 11.12.4文件记录编号 错误！未定义书签。 11.12.5文件记录 错误！未定义书签。 11.12.6文件名 错误！未定义书签。 11.12.7隧道 错误！未定义书签。 11.12.8常驻和非常驻属性 错误！未定义书签。 11.12.9数据压缩和稀疏文件 错误！未定义书签。 11.12.10压缩稀疏数据 错误！未定义书签。 11.12.11非稀疏数据的压缩 错误！未定义书签。 11.12.12稀疏文件 错误！未定义书签。 11.12.13变更日志文件 错误！未定义书签。 11.12.14索引 错误！未定义书签。 11.12.15对象ID 错误！未定义书签。 11.12.16配额跟踪 错误！未定义书签。 11.12.17综合安全性 错误！未定义书签。 11.12.18重分析点 错误！未定义书签。 11.12.19存储保留和NTFS预留 错误！未定义书签。 11.12.20事务支持 错误！未定义书签。 11.12.21隔离 错误！未定义书签。 11.12.22事务型API 错误！未定义书签。 11.12.23磁盘上的实现 错误！未定义书签。 11.12.24日志记录的实现 错误！未定义书签。 11.13NTFS恢复支持 错误！未定义书签。 11.13.1设计 错误！未定义书签。 11.13.2元数据日志记录 错误！未定义书签。 11.13.3日志文件服务 错误！未定义书签。 11.13.4日志记录类型 错误！未定义书签。 11.13.5恢复 错误！未定义书签。 11.13.6分析扫描 错误！未定义书签。 11.13.7重做扫描 错误！未定义书签。 11.13.8撤销扫描 错误！未定义书签。 11.13.9NTFS坏簇恢复 错误！未定义书签。 11.13.10自治愈 错误！未定义书签。 11.13.11联机磁盘检查和快速修复 错误！未定义书签。 11.14加密文件系统 错误！未定义书签。 11.14.1首次加密文件 错误！未定义书签。 11.14.2解密过程 错误！未定义书签。 11.14.3备份加密的文件 错误！未定义书签。 11.14.4复制加密的文件 错误！未定义书签。 11.14.5BitLocker加密卸载 错误！未定义书签。 11.14.6联机加密支持 错误！未定义书签。 11.15直接访问（DAX）磁盘 错误！未定义书签。 11.15.1DAX驱动程序模型 错误！未定义书签。 11.15.2DAX卷 错误！未定义书签。 11.15.3DAX卷上缓存和未缓存的I/O 错误！未定义书签。 11.15.4可执行映像的映射 错误！未定义书签。 11.15.5块卷 错误！未定义书签。 11.15.6文件系统过滤器驱动程序和DAX 错误！未定义书签。 11.15.7刷新DAX模式的I/O 错误！未定义书签。 11.15.8大型和巨型页的支持 错误！未定义书签。 11.15.9虚拟PM磁盘和存储空间支持 错误！未定义书签。 11.16复原文件系统（ReFS） 错误！未定义书签。 11.16.1 Minstore架构 错误！未定义书签。 11.16.2 B+树的物理布局 错误！未定义书签。 11.16.3分配器 错误！未定义书签。 11.16.4页表 错误！未定义书签。 11.16.5Minstore I/O 错误！未定义书签。 11.16.6ReFS架构 错误！未定义书签。 11.16.7 ReFS在磁盘上的结构 错误！未定义书签。 11.16.8对象ID 错误！未定义书签。 11.16.9安全性和变更日志 错误！未定义书签。 11.17 ReFS高级功能 错误！未定义书签。 11.17.1文件块克隆（快照支持）和稀疏VDL 错误！未定义书签。 11.17.2 ReFS直写 错误！未定义书签。 11.17.3 ReFS恢复支持 错误！未定义书签。 11.17.4泄漏检测 错误！未定义书签。 11.17.5叠瓦式磁记录（SMR）卷 错误！未定义书签。 11.17.6 ReFS对分层卷和SMR的支持 错误！未定义书签。 11.17.7容器压实 错误！未定义书签。 11.17.8压缩和幻象 错误！未定义书签。 11.18存储空间 错误！未定义书签。 11.18.1存储空间的内部架构 错误！未定义书签。 11.18.2存储空间提供的服务 错误！未定义书签。 11.19总结 错误！未定义书签。 第 12章 启动和关机 错误！未定义书签。 12.1引导过程 错误！未定义书签。 12.1.1UEFI引导 错误！未定义书签。 12.1.2BIOS引导过程 错误！未定义书签。 12.1.3安全启动 错误！未定义书签。 12.1.4Windows启动管理器 错误！未定义书签。 12.1.5启动菜单 错误！未定义书签。 12.1.6运行启动应用程序 错误！未定义书签。 12.1.7测量启动 错误！未定义书签。 12.1.8受信任执行 错误！未定义书签。 12.1.9Windows操作系统加载器 错误！未定义书签。 12.1.10从iSCSI启动 错误！未定义书签。 12.1.11虚拟机监控程序加载器 错误！未定义书签。 12.1.12VSM启动策略 错误！未定义书签。 12.1.13安全运行 错误！未定义书签。 12.1.14初始化内核与执行体子系统 错误！未定义书签。 12.1.15内核初始化的第 一阶段 错误！未定义书签。 12.1.16Smss、Csrss和Wininit 错误！未定义书签。 12.1.17ReadyBoot 错误！未定义书签。 12.1.18自动启动的映像 错误！未定义书签。 12.1.19关机 错误！未定义书签。 12.1.20休眠和快速启动 错误！未定义书签。 12.1.21Windows恢复环境（WinRE） 错误！未定义书签。 12.1.22安全模式 错误！未定义书签。 12.1.23安全模式下加载的驱动程序 错误！未定义书签。 12.1.24可感知安全模式的用户程序 错误！未定义书签。 12.1.25启动状态文件 错误！未定义书签。 12.2结论 错误！未定义书签。