深入解析Windows操作系統(tǒng)：Microsoft Windows Server 2003/Windows XP/Windows 2000技術(shù)內(nèi)幕（第4版）

第1章 概念和工具 1
1.1 Windows操作系統(tǒng)的版本 1
1.2 基礎(chǔ)概念和術(shù)語(yǔ) 3
Windows API 3
服務(wù)、函數(shù)和例程 5
進(jìn)程、線程和作業(yè) 6
虛擬內(nèi)存 14
內(nèi)核模式和用戶模式 16
終端服務(wù)及多個(gè)會(huì)話 21
對(duì)象和句柄 22
安全性 23
注冊(cè)表 24
Unicode 25
1.3 挖掘Windows內(nèi)部機(jī)理 25
性能工具 27
Windows支持工具箱 27
Windows資源工具箱 27
內(nèi)核調(diào)試 28
Platform SDK 33
DDK（設(shè)備驅(qū)動(dòng)程序開發(fā)工具） 34
Sysinternals工具 34
1.4 本章總結(jié) 34
第2章 系統(tǒng)結(jié)構(gòu) 35
2.1 需求和設(shè)計(jì)目標(biāo) 35
2.2 操作系統(tǒng)模型 36
2.3 總體結(jié)構(gòu) 37
可移植性 40
對(duì)稱多處理 41
可伸縮性 46
客戶和服務(wù)器版本之間的差異 47
檢查版本 49
2.4 關(guān)鍵的系統(tǒng)組件 51
環(huán)境子系統(tǒng)和子系統(tǒng)DLL 53
硬件抽象層（HAL） 67
設(shè)備驅(qū)動(dòng)程序 69
系統(tǒng)進(jìn)程 75
2.5 本章總結(jié) 84
第3章 系統(tǒng)機(jī)制 85
3.1 陷阱分發(fā) 85
中斷分發(fā) 87
異常分發(fā) 109
系統(tǒng)服務(wù)分發(fā) 119
3.2 對(duì)象管理器 124
執(zhí)行體對(duì)象 126
對(duì)象結(jié)構(gòu) 128
3.3 同步 149
高IRQL的同步 151
低IRQL的同步 155
3.4 系統(tǒng)輔助線程 166
3.5 Windows全局標(biāo)志 168
3.6 本地過(guò)程調(diào)用（LPC） 171
3.7 內(nèi)核事件追蹤 175
3.8 Wow64 178
Wow64進(jìn)程地址空間布局結(jié)構(gòu) 179
系統(tǒng)調(diào)用 179
異常分發(fā) 179
用戶回調(diào) 179
文件系統(tǒng)重定向 180
注冊(cè)表的重定向和反射 180
I/O控制請(qǐng)求 181
16位安裝器應(yīng)用程序 182
打印 182
一些限制 182
3.9 本章總結(jié) 182
第4章 管理機(jī)制 183
4.1 注冊(cè)表 183
查看和修改注冊(cè)表 183
注冊(cè)表用法 184
注冊(cè)表數(shù)據(jù)類型 185
注冊(cè)表邏輯結(jié)構(gòu) 186
注冊(cè)表問(wèn)題的診斷 192
注冊(cè)表的內(nèi)部機(jī)理 197
4.2 服務(wù) 211
服務(wù)應(yīng)用 212
服務(wù)賬戶 217
服務(wù)控制管理器 223
服務(wù)啟動(dòng) 225
啟動(dòng)錯(cuò)誤 229
接受當(dāng)前引導(dǎo)和“最后已知的好控制集” 230
服務(wù)失敗 231
服務(wù)停機(jī) 232
共享的服務(wù)進(jìn)程 233
服務(wù)控制程序 236
4.3 Windows管理規(guī)范 237
WMI體系結(jié)構(gòu) 237
提供者 239
公共信息模型（CIM）和可管理對(duì)象的格式語(yǔ)言 240
WMI名字空間 243
類關(guān)聯(lián) 244
WMI實(shí)現(xiàn) 247
WMI安全性 248
4.4 本章總結(jié) 249
第5章 啟動(dòng)和停機(jī) 251
5.1 引導(dǎo)過(guò)程 251
x86和x64引導(dǎo)準(zhǔn)備 251
x86/x64引導(dǎo)扇區(qū)和Ntldr 255
IA64引導(dǎo)過(guò)程 264
初始化內(nèi)核和執(zhí)行體子系統(tǒng) 266
Smss、Csrss和Winlogon 269
自動(dòng)啟動(dòng)的映像文件 273
5.2 引導(dǎo)和啟動(dòng)問(wèn)題的故障檢查 274
最后已知的好配置 274
安全模式 274
安全模式下的驅(qū)動(dòng)程序加載 275
恢復(fù)控制臺(tái)（Recovery Console） 279
解決常見的引導(dǎo)問(wèn)題 281
5.3 停機(jī) 286
5.4 本章總結(jié) 288
第6章 進(jìn)程、線程和作業(yè) 289
6.1 進(jìn)程的內(nèi)部機(jī)理 289
數(shù)據(jù)結(jié)構(gòu) 289
內(nèi)核變量 297
性能計(jì)數(shù)器 297
有關(guān)的函數(shù) 298
6.2 CreateProcess的流程 300
階段1：打開將要被執(zhí)行的映像 302
階段2：創(chuàng)建Windows執(zhí)行體進(jìn)程對(duì)象 304
階段3：創(chuàng)建初始線程，以及它的棧和執(zhí)行環(huán)境 308
階段4：將新進(jìn)程通知Windows子系統(tǒng) 309
階段5：?jiǎn)?dòng)初始線程的執(zhí)行 310
階段6：在新進(jìn)程環(huán)境下執(zhí)行進(jìn)程初始化 310
6.3 線程的內(nèi)部機(jī)理 313
數(shù)據(jù)結(jié)構(gòu) 313
內(nèi)核變量 320
性能計(jì)數(shù)器 321
有關(guān)的函數(shù) 322
一個(gè)線程的產(chǎn)生 322
6.4 檢查線程活動(dòng) 323
6.5 線程調(diào)度 325
Windows調(diào)度的概述 326
優(yōu)先級(jí)別 327
Windows調(diào)度API 330
有關(guān)的工具 331
實(shí)時(shí)優(yōu)先級(jí) 333
線程狀態(tài) 334
分發(fā)器數(shù)據(jù)庫(kù) 338
時(shí)限 340
調(diào)度情形 345
環(huán)境切換 347
空閑（Idle）線程 348
優(yōu)先級(jí)提升 348
多處理器系統(tǒng) 357
多處理器的線程調(diào)度算法 366
6.6 作業(yè)對(duì)象 369
6.7 本章總結(jié) 374
第7章 內(nèi)存管理 375
7.1 內(nèi)存管理器簡(jiǎn)介 375
內(nèi)存管理器組件 376
內(nèi)部同步 377
配置內(nèi)存管理器 378
檢查內(nèi)存的使用情況 378
7.2 內(nèi)存管理器提供的服務(wù) 382
大頁(yè)面和小頁(yè)面 382
保留的和提交的頁(yè)面 384
鎖住內(nèi)存 385
分配粒度 385
共享內(nèi)存和映射文件 386
保護(hù)內(nèi)存 388
“不可執(zhí)行”頁(yè)面保護(hù) 390
寫時(shí)復(fù)制 392
堆管理器 394
地址窗口擴(kuò)展 399
7.3 系統(tǒng)內(nèi)存池 401
配置內(nèi)存池的大小 401
監(jiān)視內(nèi)存池的使用 404
預(yù)讀列表（Look-Aside List） 408
驅(qū)動(dòng)程序檢驗(yàn)器（Driver Verifier） 409
7.4 虛擬地址空間的布局結(jié)構(gòu) 413
x86用戶地址空間的布局結(jié)構(gòu) 415
x86系統(tǒng)地址空間的布局結(jié)構(gòu) 417
x86會(huì)話空間 418
系統(tǒng)頁(yè)表項(xiàng)（PTE，Page Table Entry） 421
64位地址空間布局結(jié)構(gòu) 422
7.5 地址轉(zhuǎn)譯 425
x86虛擬地址轉(zhuǎn)譯 425
地址轉(zhuǎn)譯快查緩沖區(qū) 434
物理地址擴(kuò)展（PAE） 435
IA-64虛擬地址轉(zhuǎn)譯 437
x64虛擬地址轉(zhuǎn)譯 438
7.6 頁(yè)面錯(cuò)誤處理 439
無(wú)效PTE 440
原型PTE 441
頁(yè)面換入I/O 443
沖突的頁(yè)面錯(cuò)誤 444
頁(yè)面文件 444
7.7 虛擬地址描述符 448
7.8 內(nèi)存區(qū)對(duì)象 450
7.9 工作集 457
按需換頁(yè) 458
7.10 邏輯預(yù)取器 458
放置策略 462
工作集管理 463
平衡集管理器和交換器 466
系統(tǒng)工作集 467
7.11 頁(yè)面幀編號(hào)數(shù)據(jù)庫(kù) 469
頁(yè)面列表的動(dòng)態(tài)變化 472
已修改頁(yè)面寫出器 475
PFN數(shù)據(jù)結(jié)構(gòu) 476
低內(nèi)存通知和高內(nèi)存通知 479
7.12 本章總結(jié) 483
第8章 安全性 485
8.1 安全系統(tǒng)組件 488
8.2 保護(hù)對(duì)象 492
訪問(wèn)檢查 493
安全描述符和訪問(wèn)控制 506
8.3 賬戶權(quán)限和特權(quán) 516
賬戶權(quán)限 517
特權(quán) 518
超級(jí)特權(quán) 523
8.4 安全審計(jì) 524
8.5 登錄（Logon） 526
Winlogon初始化 528
用戶登錄步驟 529
8.6 軟件限制策略 533
8.7 本章總結(jié) 535
第9章 I/O系統(tǒng) 537
9.1 I/O系統(tǒng)組件 537
I/O管理器 539
典型的I/O處理過(guò)程 540
9.2 設(shè)備驅(qū)動(dòng)程序 541
設(shè)備驅(qū)動(dòng)程序的類型 541
驅(qū)動(dòng)程序的結(jié)構(gòu) 548
驅(qū)動(dòng)程序?qū)ο蠛驮O(shè)備對(duì)象 550
打開設(shè)備 555
9.3 I/O處理 561
I/O類型 561
映射文件I/O和文件緩存 564
I/O請(qǐng)求包 564
針對(duì)單層驅(qū)動(dòng)程序的I/O請(qǐng)求 569
針對(duì)分層的驅(qū)動(dòng)程序的I/O請(qǐng)求 577
I/O完成端口 585
驅(qū)動(dòng)程序檢驗(yàn)器（Driver Verifier） 589
9.4 即插即用（PnP）管理器 590
即插即用支持的級(jí)別 591
驅(qū)動(dòng)程序?qū)τ诩床寮从玫闹С?592
驅(qū)動(dòng)程序加載、初始化和安裝 594
驅(qū)動(dòng)程序安裝 603
9.5 電源管理器 607
電源管理器的操作 609
驅(qū)動(dòng)程序的電源操作 610
驅(qū)動(dòng)程序?qū)τ谠O(shè)備電源的控制 613
9.6 本章總結(jié) 613
第10章 存儲(chǔ)管理 615
10.1 有關(guān)存儲(chǔ)的術(shù)語(yǔ) 615
10.2 磁盤驅(qū)動(dòng)程序 616
Ntldr 616
磁盤類、端口和小端口驅(qū)動(dòng)程序 617
磁盤設(shè)備對(duì)象 620
分區(qū)管理器 622
10.3 卷的管理 622
基本磁盤 624
動(dòng)態(tài)磁盤 626
多分區(qū)卷的管理 632
卷名字空間 638
卷的I/O操作 646
虛擬磁盤服務(wù) 648
卷影像（shadow）拷貝服務(wù) 649
10.4 本章總結(jié) 654
第11章 緩存管理器 655
11.1 緩存管理器的關(guān)鍵特性 655
單個(gè)中心化的系統(tǒng)緩存 656
內(nèi)存管理器 656
緩存一致性 656
虛擬塊緩存 658
流式緩存機(jī)制 658
對(duì)可恢復(fù)文件系統(tǒng)的支持 658
11.2 緩存的虛擬內(nèi)存管理 660
11.3 緩存的大小 662
LargeSystemCache 662
緩存的虛擬大小 663
緩存的工作集大小 665
緩存的物理大小 667
11.4 緩存的數(shù)據(jù)結(jié)構(gòu) 668
系統(tǒng)范圍的緩存數(shù)據(jù)結(jié)構(gòu) 669
針對(duì)每個(gè)文件的緩存數(shù)據(jù)結(jié)構(gòu) 670
11.5 文件系統(tǒng)接口 674
從緩存中來(lái)回拷貝數(shù)據(jù) 676
通過(guò)映射和鎖定接口進(jìn)行緩存 677
通過(guò)直接內(nèi)存訪問(wèn)接口進(jìn)行緩存 678
11.6 快速I/O 679
11.7 預(yù)讀（Read Ahead）和滯后寫（Write Behind） 682
智能預(yù)讀 682
回寫緩存（Write-Back Caching）和延遲寫（Lazy Writing） 683
寫節(jié)流（Write Throttling） 686
系統(tǒng)線程 687
11.8 本章總結(jié) 688
第12章 文件系統(tǒng) 689
12.1 Windows文件系統(tǒng)格式 690
CDFS 690
UDF 691
FAT12、FAT16和FAT32 691
NTFS 694
12.2 文件系統(tǒng)驅(qū)動(dòng)程序總體結(jié)構(gòu) 694
本地FSD 695
遠(yuǎn)程FSD 696
文件系統(tǒng)操作 700
文件系統(tǒng)過(guò)濾型驅(qū)動(dòng)程序 705
12.3 診斷文件系統(tǒng)的問(wèn)題 711
Filemon的基本和高級(jí)模式 711
Filemon診斷技巧 712
12.4 NTFS設(shè)計(jì)目標(biāo)和特性 717
高端（High-End）文件系統(tǒng)的需求 717
NTFS的高級(jí)特性 719
12.5 NTFS文件系統(tǒng)驅(qū)動(dòng)程序 729
12.6 NTFS在磁盤上的結(jié)構(gòu) 732
卷（volume） 732
簇（cluster） 732
主文件表（MFT） 733
文件引用號(hào) 739
文件紀(jì)錄 740
文件名 742
駐留的和非駐留的屬性 744
數(shù)據(jù)壓縮和稀疏文件 747
變化日志文件 752
索引 753
對(duì)象ID 754
配額跟蹤 755
統(tǒng)一的安全性 756
重解析點(diǎn) 758
12.7 NTFS的恢復(fù)支持 758
文件系統(tǒng)設(shè)計(jì)的演變 759
日志記錄 761
恢復(fù) 767
NTFS的壞簇恢復(fù) 771
12.8 加密文件系統(tǒng)（EFS）安全性 775
第一次加密一個(gè)文件 778
解密過(guò)程 783
加密文件的備份 784
12.9 本章總結(jié) 785
第13章 網(wǎng)絡(luò) 787
13.1 Windows的網(wǎng)絡(luò)總體結(jié)構(gòu) 787
OSI參考模型 787
Windows網(wǎng)絡(luò)組件 789
13.2 網(wǎng)絡(luò)API 791
Windows套接字（Windows Sockets） 791
遠(yuǎn)過(guò)程調(diào)用 798
Web訪問(wèn)API 803
命名管道和郵件槽 804
NetBIOS 811
NetBIOS的操作 812
其他的網(wǎng)絡(luò)API 813
13.3 多重定向器支持 815
多提供者轉(zhuǎn)發(fā)器 816
多UNC提供者 818
13.4 名稱解析 820
域名系統(tǒng) 820
Windows Internet名稱服務(wù) 820
13.5 協(xié)議驅(qū)動(dòng)程序 821
TCP/IP的擴(kuò)展 824
13.6 NDIS驅(qū)動(dòng)程序 828
NDIS小端口的變化形式 832
面向連接的NDIS 832
外接NDIS（Remote NDIS） 835
QOS 836
13.7 綁定 838
13.8 分層的網(wǎng)絡(luò)服務(wù) 839
遠(yuǎn)程訪問(wèn)（Remote Access） 839
活動(dòng)目錄 840
網(wǎng)絡(luò)負(fù)載平衡 841
文件復(fù)制服務(wù) 843
分布式文件系統(tǒng) 843
13.9 本章總結(jié) 844
第14章 崩潰轉(zhuǎn)儲(chǔ)分析 845
14.1 Windows為什么會(huì)崩潰 845
14.2 藍(lán)屏 846
14.3 崩潰轉(zhuǎn)儲(chǔ)文件 849
崩潰轉(zhuǎn)儲(chǔ)的生成 852
14.4 Windows錯(cuò)誤報(bào)告 853
14.5 在線崩潰分析 854
14.6 基本的崩潰轉(zhuǎn)儲(chǔ)分析 855
Notmyfault 855
基本的崩潰轉(zhuǎn)儲(chǔ)分析 856
詳細(xì)的分析 858
14.7 使用崩潰診斷工具 860
緩沖區(qū)溢出和特殊內(nèi)存池 861
代碼改寫和系統(tǒng)代碼寫保護(hù) 863
14.8 高級(jí)的崩潰轉(zhuǎn)儲(chǔ)分析 864
棧破壞 865
掛起的系統(tǒng)或無(wú)響應(yīng)的系統(tǒng) 866
當(dāng)沒(méi)有崩潰轉(zhuǎn)儲(chǔ)時(shí) 869
術(shù)語(yǔ)表 871
術(shù)語(yǔ)對(duì)照表 895
索引 901