深入解析Windows操作系统 第4版——Microsoft Windows Server 2003/Windows XP/Windows 2000技术内幕

.windows资源工具箱27
内核调试28
platform sdk33
ddk（设备驱动程序开发工具）34
sysinternals工具34
1.4 本章总结34
第2章 系统结构35
2.1 需求和设计目标35
2.2 操作系统模型36
2.3 总体结构37
可移植性40
对称多处理41
可伸缩性46
客户和服务器版本之间的差异47
检查版本49
2.4 关键的系统组件51
环境子系统和子系统dll53
硬件抽象层（hal）67
设备驱动程序69
系统进程75
2.5 本章总结84
第3章 系统机制85
3.1 陷阱分发85
中断分发87
异常分发109
系统服务分发119
3.2 对象管理器124
执行体对象126
对象结构128
3.3 同步149
高irql的同步151
低irql的同步155
3.4 系统辅助线程166
3.5 windows全局标志168
3.6 本地过程调用（lpc）171
3.7 内核事件追踪175
3.8 wow64178
wow64进程地址空间布局结构179
系统调用179
异常分发179
用户回调179
文件系统重定向180
注册表的重定向和反射180
i/o控制请求181
16位安装器应用程序182
打印182
一些限制182
3.9 本章总结182
第4章 管理机制183
4.1 注册表183
查看和修改注册表183
注册表用法184
注册表数据类型185
注册表逻辑结构186
注册表问题的诊断192
注册表的内部机理197
4.2 服务211
服务应用212
服务账户217
服务控制管理器223
服务启动225
启动错误229
接受当前引导和“最后已知的好控制集”230
服务失败231
服务停机232
共享的服务进程233
服务控制程序236
4.3 windows管理规范237
wmi体系结构237
提供者239
公共信息模型（cim）和可管理对象的格式语言240
wmi名字空间243
类关联244
wmi实现247
wmi安全性248
4.4 本章总结249
第5章 启动和停机251
5.1 引导过程251
x86和x64引导准备251
x86/x64引导扇区和ntldr255
ia64引导过程264
初始化内核和执行体子系统266
smss、csrss和winlogon269
自动启动的映像文件273
5.2 引导和启动问题的故障检查274
最后已知的好配置274
安全模式274
安全模式下的驱动程序加载275
恢复控制台（recovery console）279
解决常见的引导问题281
5.3 停机286
5.4 本章总结288
第6章 进程、线程和作业289
6.1 进程的内部机理289
数据结构289
内核变量297
性能计数器297
有关的函数298
6.2 createprocess的流程300
阶段1：打开将要被执行的映像302
阶段2：创建windows执行体进程对象304
阶段3：创建初始线程，以及它的栈和执行环境308
阶段4：将新进程通知windows子系统309
阶段5：启动初始线程的执行310
阶段6：在新进程环境下执行进程初始化310
6.3 线程的内部机理313
数据结构313
内核变量320
性能计数器321
有关的函数322
一个线程的产生322
6.4 检查线程活动323
6.5 线程调度325
windows调度的概述326
优先级别327
windows调度api330
有关的工具331
实时优先级333
线程状态334
分发器数据库338
时限340
调度情形345
环境切换347
空闲（idle）线程348
优先级提升348
多处理器系统357
多处理器的线程调度算法366
6.6 作业对象369
6.7 本章总结374
第7章 内存管理375
7.1 内存管理器简介375
内存管理器组件376
内部同步377
配置内存管理器378
检查内存的使用情况378
7.2 内存管理器提供的服务382
大页面和小页面382
保留的和提交的页面384
锁住内存385
分配粒度385
共享内存和映射文件386
保护内存388
“不可执行”页面保护390
写时复制392
堆管理器394
地址窗口扩展399
7.3 系统内存池401
配置内存池的大小401
监视内存池的使用404
预读列表（look-aside list）408
驱动程序检验器（driver verifier）409
7.4 虚拟地址空间的布局结构413
x86用户地址空间的布局结构415
x86系统地址空间的布局结构417
x86会话空间418
系统页表项（pte，page table entry）421
64位地址空间布局结构422
7.5 地址转译425
x86虚拟地址转译425
地址转译快查缓冲区434
物理地址扩展（pae）435
ia-64虚拟地址转译437
x64虚拟地址转译438
7.6 页面错误处理439
无效pte440
原型pte441
页面换入i/o443
冲突的页面错误444
页面文件444
7.7 虚拟地址描述符448
7.8 内存区对象450
7.9 工作集457
按需换页458
7.10 逻辑预取器458
放置策略462
工作集管理463
平衡集管理器和交换器466
系统工作集467
7.11 页面帧编号数据库469
页面列表的动态变化472
已修改页面写出器475
pfn数据结构476
低内存通知和高内存通知479
7.12 本章总结483
第8章 安全性485
8.1 安全系统组件488
8.2 保护对象492
访问检查493
安全描述符和访问控制506
8.3 账户权限和特权516
账户权限517
特权518
超级特权523
8.4 安全审计524
8.5 登录（logon）526
winlogon初始化528
用户登录步骤529
8.6 软件限制策略533
8.7 本章总结535
第9章 i/o系统537
9.1 i/o系统组件537
i/o管理器539
典型的i/o处理过程540
9.2 设备驱动程序541
设备驱动程序的类型541
驱动程序的结构548
驱动程序对象和设备对象550
打开设备555
9.3 i/o处理561
i/o类型561
映射文件i/o和文件缓存564
i/o请求包564
针对单层驱动程序的i/o请求569
针对分层的驱动程序的i/o请求577
i/o完成端口585
驱动程序检验器（driver verifier）589
9.4 即插即用（pnp）管理器590
即插即用支持的级别591
驱动程序对于即插即用的支持592
驱动程序加载、初始化和安装594
驱动程序安装603
9.5 电源管理器607
电源管理器的操作609
驱动程序的电源操作610
驱动程序对于设备电源的控制613
9.6 本章总结613
第10章 存储管理615
10.1 有关存储的术语615
10.2 磁盘驱动程序616
ntldr616
磁盘类、端口和小端口驱动程序617
磁盘设备对象620
分区管理器622
10.3 卷的管理622
基本磁盘624
动态磁盘626
多分区卷的管理632
卷名字空间638
卷的i/o操作646
虚拟磁盘服务648
卷影像（shadow）拷贝服务649
10.4 本章总结654
第11章 缓存管理器655
11.1 缓存管理器的关键特性655
单个中心化的系统缓存656
内存管理器656
缓存一致性656
虚拟块缓存658
流式缓存机制658
对可恢复文件系统的支持658
11.2 缓存的虚拟内存管理660
11.3 缓存的大小662
largesystemcache662
缓存的虚拟大小663
缓存的工作集大小665
缓存的物理大小667
11.4 缓存的数据结构668
系统范围的缓存数据结构669
针对每个文件的缓存数据结构670
11.5 文件系统接口674
从缓存中来回拷贝数据676
通过映射和锁定接口进行缓存677
通过直接内存访问接口进行缓存678
11.6 快速i/o679
11.7 预读（read ahead）和滞后写（write behind）682
智能预读682
回写缓存（write-back caching）和延迟写（lazy writing）683
写节流（write throttling）686
系统线程687
11.8 本章总结688
第12章 文件系统689
12.1 windows文件系统格式690
cdfs690
udf691
fat12、fat16和fat32691
ntfs694
12.2 文件系统驱动程序总体结构694
本地fsd695
远程fsd696
文件系统操作700
文件系统过滤型驱动程序705
12.3 诊断文件系统的问题711
filemon的基本和高级模式711
filemon诊断技巧712
12.4 ntfs设计目标和特性717
高端（high-end）文件系统的需求717
ntfs的高级特性719
12.5 ntfs文件系统驱动程序729
12.6 ntfs在磁盘上的结构732
卷（volume）732
簇（cluster）732
主文件表（mft）733
文件引用号739
文件纪录740
文件名742
驻留的和非驻留的属性744
数据压缩和稀疏文件747
变化日志文件752
索引753
对象id754
配额跟踪755
统一的安全性756
重解析点758
12.7 ntfs的恢复支持758
文件系统设计的演变759
日志记录761
恢复767
ntfs的坏簇恢复771
12.8 加密文件系统（efs）安全性775
第一次加密一个文件778
解密过程783
加密文件的备份784
12.9 本章总结785
第13章 网络787
13.1 windows的网络总体结构787
osi参考模型787
windows网络组件789
13.2 网络api791
windows套接字（windows sockets）791
远过程调用798
web访问api803
命名管道和邮件槽804
netbios811
netbios的操作812
其他的网络api813
13.3 多重定向器支持815
多提供者转发器816
多unc提供者818
13.4 名称解析820
域名系统820
windows internet名称服务820
13.5 协议驱动程序821
tcp/ip的扩展824
13.6 ndis驱动程序828
ndis小端口的变化形式832
面向连接的ndis832
外接ndis（remote ndis）835
qos836
13.7 绑定838
13.8 分层的网络服务839
远程访问（remote access）839
活动目录840
网络负载平衡841
文件复制服务843
分布式文件系统843
13.9 本章总结844
第14章 崩溃转储分析845
14.1 windows为什么会崩溃845
14.2 蓝屏846
14.3 崩溃转储文件849
崩溃转储的生成852
14.4 windows错误报告853
14.5 在线崩溃分析854
14.6 基本的崩溃转储分析855
notmyfault855
基本的崩溃转储分析856
详细的分析858
14.7 使用崩溃诊断工具860
缓冲区溢出和特殊内存池861
代码改写和系统代码写保护863
14.8 高级的崩溃转储分析864
栈破坏865
挂起的系统或无响应的系统866
当没有崩溃转储时869
术语表871
术语对照表895
索引901