深入解析Windows操作系統(tǒng)：Microsoft Windows Server 2003/Windows XP/Windows 2000技術內幕（第4版）

第1章 概念和工具 1
1.1 Windows操作系統(tǒng)的版本 1
1.2 基礎概念和術語 3
Windows API 3
服務、函數和例程 5
進程、線程和作業(yè) 6
虛擬內存 14
內核模式和用戶模式 16
終端服務及多個會話 21
對象和句柄 22
安全性 23
注冊表 24
Unicode 25
1.3 挖掘Windows內部機理 25
性能工具 27
Windows支持工具箱 27
Windows資源工具箱 27
內核調試 28
Platform SDK 33
DDK（設備驅動程序開發(fā)工具） 34
Sysinternals工具 34
1.4 本章總結 34
第2章 系統(tǒng)結構 35
2.1 需求和設計目標 35
2.2 操作系統(tǒng)模型 36
2.3 總體結構 37
可移植性 40
對稱多處理 41
可伸縮性 46
客戶和服務器版本之間的差異 47
檢查版本 49
2.4 關鍵的系統(tǒng)組件 51
環(huán)境子系統(tǒng)和子系統(tǒng)DLL 53
硬件抽象層（HAL） 67
設備驅動程序 69
系統(tǒng)進程 75
2.5 本章總結 84
第3章 系統(tǒng)機制 85
3.1 陷阱分發(fā) 85
中斷分發(fā) 87
異常分發(fā) 109
系統(tǒng)服務分發(fā) 119
3.2 對象管理器 124
執(zhí)行體對象 126
對象結構 128
3.3 同步 149
高IRQL的同步 151
低IRQL的同步 155
3.4 系統(tǒng)輔助線程 166
3.5 Windows全局標志 168
3.6 本地過程調用（LPC） 171
3.7 內核事件追蹤 175
3.8 Wow64 178
Wow64進程地址空間布局結構 179
系統(tǒng)調用 179
異常分發(fā) 179
用戶回調 179
文件系統(tǒng)重定向 180
注冊表的重定向和反射 180
I/O控制請求 181
16位安裝器應用程序 182
打印 182
一些限制 182
3.9 本章總結 182
第4章 管理機制 183
4.1 注冊表 183
查看和修改注冊表 183
注冊表用法 184
注冊表數據類型 185
注冊表邏輯結構 186
注冊表問題的診斷 192
注冊表的內部機理 197
4.2 服務 211
服務應用 212
服務賬戶 217
服務控制管理器 223
服務啟動 225
啟動錯誤 229
接受當前引導和“最后已知的好控制集” 230
服務失敗 231
服務停機 232
共享的服務進程 233
服務控制程序 236
4.3 Windows管理規(guī)范 237
WMI體系結構 237
提供者 239
公共信息模型（CIM）和可管理對象的格式語言 240
WMI名字空間 243
類關聯(lián) 244
WMI實現(xiàn) 247
WMI安全性 248
4.4 本章總結 249
第5章 啟動和停機 251
5.1 引導過程 251
x86和x64引導準備 251
x86/x64引導扇區(qū)和Ntldr 255
IA64引導過程 264
初始化內核和執(zhí)行體子系統(tǒng) 266
Smss、Csrss和Winlogon 269
自動啟動的映像文件 273
5.2 引導和啟動問題的故障檢查 274
最后已知的好配置 274
安全模式 274
安全模式下的驅動程序加載 275
恢復控制臺（Recovery Console） 279
解決常見的引導問題 281
5.3 停機 286
5.4 本章總結 288
第6章 進程、線程和作業(yè) 289
6.1 進程的內部機理 289
數據結構 289
內核變量 297
性能計數器 297
有關的函數 298
6.2 CreateProcess的流程 300
階段1：打開將要被執(zhí)行的映像 302
階段2：創(chuàng)建Windows執(zhí)行體進程對象 304
階段3：創(chuàng)建初始線程，以及它的棧和執(zhí)行環(huán)境 308
階段4：將新進程通知Windows子系統(tǒng) 309
階段5：啟動初始線程的執(zhí)行 310
階段6：在新進程環(huán)境下執(zhí)行進程初始化 310
6.3 線程的內部機理 313
數據結構 313
內核變量 320
性能計數器 321
有關的函數 322
一個線程的產生 322
6.4 檢查線程活動 323
6.5 線程調度 325
Windows調度的概述 326
優(yōu)先級別 327
Windows調度API 330
有關的工具 331
實時優(yōu)先級 333
線程狀態(tài) 334
分發(fā)器數據庫 338
時限 340
調度情形 345
環(huán)境切換 347
空閑（Idle）線程 348
優(yōu)先級提升 348
多處理器系統(tǒng) 357
多處理器的線程調度算法 366
6.6 作業(yè)對象 369
6.7 本章總結 374
第7章 內存管理 375
7.1 內存管理器簡介 375
內存管理器組件 376
內部同步 377
配置內存管理器 378
檢查內存的使用情況 378
7.2 內存管理器提供的服務 382
大頁面和小頁面 382
保留的和提交的頁面 384
鎖住內存 385
分配粒度 385
共享內存和映射文件 386
保護內存 388
“不可執(zhí)行”頁面保護 390
寫時復制 392
堆管理器 394
地址窗口擴展 399
7.3 系統(tǒng)內存池 401
配置內存池的大小 401
監(jiān)視內存池的使用 404
預讀列表（Look-Aside List） 408
驅動程序檢驗器（Driver Verifier） 409
7.4 虛擬地址空間的布局結構 413
x86用戶地址空間的布局結構 415
x86系統(tǒng)地址空間的布局結構 417
x86會話空間 418
系統(tǒng)頁表項（PTE，Page Table Entry） 421
64位地址空間布局結構 422
7.5 地址轉譯 425
x86虛擬地址轉譯 425
地址轉譯快查緩沖區(qū) 434
物理地址擴展（PAE） 435
IA-64虛擬地址轉譯 437
x64虛擬地址轉譯 438
7.6 頁面錯誤處理 439
無效PTE 440
原型PTE 441
頁面換入I/O 443
沖突的頁面錯誤 444
頁面文件 444
7.7 虛擬地址描述符 448
7.8 內存區(qū)對象 450
7.9 工作集 457
按需換頁 458
7.10 邏輯預取器 458
放置策略 462
工作集管理 463
平衡集管理器和交換器 466
系統(tǒng)工作集 467
7.11 頁面幀編號數據庫 469
頁面列表的動態(tài)變化 472
已修改頁面寫出器 475
PFN數據結構 476
低內存通知和高內存通知 479
7.12 本章總結 483
第8章 安全性 485
8.1 安全系統(tǒng)組件 488
8.2 保護對象 492
訪問檢查 493
安全描述符和訪問控制 506
8.3 賬戶權限和特權 516
賬戶權限 517
特權 518
超級特權 523
8.4 安全審計 524
8.5 登錄（Logon） 526
Winlogon初始化 528
用戶登錄步驟 529
8.6 軟件限制策略 533
8.7 本章總結 535
第9章 I/O系統(tǒng) 537
9.1 I/O系統(tǒng)組件 537
I/O管理器 539
典型的I/O處理過程 540
9.2 設備驅動程序 541
設備驅動程序的類型 541
驅動程序的結構 548
驅動程序對象和設備對象 550
打開設備 555
9.3 I/O處理 561
I/O類型 561
映射文件I/O和文件緩存 564
I/O請求包 564
針對單層驅動程序的I/O請求 569
針對分層的驅動程序的I/O請求 577
I/O完成端口 585
驅動程序檢驗器（Driver Verifier） 589
9.4 即插即用（PnP）管理器 590
即插即用支持的級別 591
驅動程序對于即插即用的支持 592
驅動程序加載、初始化和安裝 594
驅動程序安裝 603
9.5 電源管理器 607
電源管理器的操作 609
驅動程序的電源操作 610
驅動程序對于設備電源的控制 613
9.6 本章總結 613
第10章 存儲管理 615
10.1 有關存儲的術語 615
10.2 磁盤驅動程序 616
Ntldr 616
磁盤類、端口和小端口驅動程序 617
磁盤設備對象 620
分區(qū)管理器 622
10.3 卷的管理 622
基本磁盤 624
動態(tài)磁盤 626
多分區(qū)卷的管理 632
卷名字空間 638
卷的I/O操作 646
虛擬磁盤服務 648
卷影像（shadow）拷貝服務 649
10.4 本章總結 654
第11章 緩存管理器 655
11.1 緩存管理器的關鍵特性 655
單個中心化的系統(tǒng)緩存 656
內存管理器 656
緩存一致性 656
虛擬塊緩存 658
流式緩存機制 658
對可恢復文件系統(tǒng)的支持 658
11.2 緩存的虛擬內存管理 660
11.3 緩存的大小 662
LargeSystemCache 662
緩存的虛擬大小 663
緩存的工作集大小 665
緩存的物理大小 667
11.4 緩存的數據結構 668
系統(tǒng)范圍的緩存數據結構 669
針對每個文件的緩存數據結構 670
11.5 文件系統(tǒng)接口 674
從緩存中來回拷貝數據 676
通過映射和鎖定接口進行緩存 677
通過直接內存訪問接口進行緩存 678
11.6 快速I/O 679
11.7 預讀（Read Ahead）和滯后寫（Write Behind） 682
智能預讀 682
回寫緩存（Write-Back Caching）和延遲寫（Lazy Writing） 683
寫節(jié)流（Write Throttling） 686
系統(tǒng)線程 687
11.8 本章總結 688
第12章 文件系統(tǒng) 689
12.1 Windows文件系統(tǒng)格式 690
CDFS 690
UDF 691
FAT12、FAT16和FAT32 691
NTFS 694
12.2 文件系統(tǒng)驅動程序總體結構 694
本地FSD 695
遠程FSD 696
文件系統(tǒng)操作 700
文件系統(tǒng)過濾型驅動程序 705
12.3 診斷文件系統(tǒng)的問題 711
Filemon的基本和高級模式 711
Filemon診斷技巧 712
12.4 NTFS設計目標和特性 717
高端（High-End）文件系統(tǒng)的需求 717
NTFS的高級特性 719
12.5 NTFS文件系統(tǒng)驅動程序 729
12.6 NTFS在磁盤上的結構 732
卷（volume） 732
簇（cluster） 732
主文件表（MFT） 733
文件引用號 739
文件紀錄 740
文件名 742
駐留的和非駐留的屬性 744
數據壓縮和稀疏文件 747
變化日志文件 752
索引 753
對象ID 754
配額跟蹤 755
統(tǒng)一的安全性 756
重解析點 758
12.7 NTFS的恢復支持 758
文件系統(tǒng)設計的演變 759
日志記錄 761
恢復 767
NTFS的壞簇恢復 771
12.8 加密文件系統(tǒng)（EFS）安全性 775
第一次加密一個文件 778
解密過程 783
加密文件的備份 784
12.9 本章總結 785
第13章 網絡 787
13.1 Windows的網絡總體結構 787
OSI參考模型 787
Windows網絡組件 789
13.2 網絡API 791
Windows套接字（Windows Sockets） 791
遠過程調用 798
Web訪問API 803
命名管道和郵件槽 804
NetBIOS 811
NetBIOS的操作 812
其他的網絡API 813
13.3 多重定向器支持 815
多提供者轉發(fā)器 816
多UNC提供者 818
13.4 名稱解析 820
域名系統(tǒng) 820
Windows Internet名稱服務 820
13.5 協(xié)議驅動程序 821
TCP/IP的擴展 824
13.6 NDIS驅動程序 828
NDIS小端口的變化形式 832
面向連接的NDIS 832
外接NDIS（Remote NDIS） 835
QOS 836
13.7 綁定 838
13.8 分層的網絡服務 839
遠程訪問（Remote Access） 839
活動目錄 840
網絡負載平衡 841
文件復制服務 843
分布式文件系統(tǒng) 843
13.9 本章總結 844
第14章 崩潰轉儲分析 845
14.1 Windows為什么會崩潰 845
14.2 藍屏 846
14.3 崩潰轉儲文件 849
崩潰轉儲的生成 852
14.4 Windows錯誤報告 853
14.5 在線崩潰分析 854
14.6 基本的崩潰轉儲分析 855
Notmyfault 855
基本的崩潰轉儲分析 856
詳細的分析 858
14.7 使用崩潰診斷工具 860
緩沖區(qū)溢出和特殊內存池 861
代碼改寫和系統(tǒng)代碼寫保護 863
14.8 高級的崩潰轉儲分析 864
棧破壞 865
掛起的系統(tǒng)或無響應的系統(tǒng) 866
當沒有崩潰轉儲時 869
術語表 871
術語對照表 895
索引 901