寒江独钓:Windows内核安全编程

寒江独钓
8.2
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者:
出版社: 电子工业出版社
2009-06
版次: 1
ISBN: 9787121087967
定价: 75.00
装帧: 平装
开本: 16开
纸张: 胶版纸
页数: 516页
字数: 684千字
正文语种: 简体中文
  •   《寒江独钓——Windows内核安全编程》从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及3类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows2000一直到目前最新的Windows7Beta版。
      本书适合大专院校计算机系的学生、普通Windows程序员、Windows内核程序员、信息安全行业的程序员,以及希望了解Windows系统底层知识的计算机编程爱好者使用。阅读本书,需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。   关于本书作者和贡献者
      主要作者:
      谭文,C程序员。1980年生于湖南。2002年毕业于西安交通大学自动控制系。毕业后一直从事各类系统底层软件的开发设计工作;目前在英特尔在上海紫竹科技园的研发中心参与不同平台二进制指令动态翻译系统的项目开发。爱好聊天、发帖。曾著有《天书夜读——从汇编语言到Windows内核编程》一书。编写本书的第1~3,7,8,10~12章,并统稿全书。
      杨潇,C程序员。1981年生于陕西。2006年毕业于西安交通大学自动控制研究所。一直从事各类系统软硬件接口部分的开发设计工作;目前在Comodo北京研发中心任职,负责各类Windows/Linux相关驱动的开发。爱好音乐、旅游和摄影。负责编写本书的第5,6章。
      邵坚磊,前执业医生,现C、汇编程序员。1976年生于上海,毕业于上海交通大学计算机系,具有临床医学和计算机专业的双学位。长期致力于x86体系架构与Windows系统底层技术的研究与相关开发工作;目前在上海某公司主持信息防泄密软件的Windows内核驱动的开发工作。是著名的反rootkit工具DarkSpy的作者之一。曾与谭文合著《天书夜读——从汇编语言到Windows内核编程》。爱好网游。编写本书的第4章。  
      其他有贡献的作者:
      卢冠豪,C程序员。1981年生于中国台湾。毕业于辅仁大学资讯工程学系。长期从事C、C++、网络与通信程序设计的工作;参与过“端点安全”、“资产管理”、“网络流量分析”等项目的开发与维护;擅长Windows项目开发。平时爱好吸收与科技电脑有关的新知识。受邀编写本书的第9章。
      张佩,C程序员,1982年生于江苏扬中,毕业于苏州大学。近三四年来,一直从事底层软件开发,乐此不疲。因偶然的机会参与了本书的写作,非常开心。现从事于一项音视频软件方面的项目。此人好读书,好写文章,好交朋友。为人善,与人交善,诚善人也。受邀编写本书的第13章。  
      其他有贡献者:
      杨瑾,西安交通大学在读博士生。在参与导师的项目过程中,因技术的需要阅读了本书的原稿,修改了书中的许多细节错误与纰漏,并按照本书介绍的步骤,编译、安装和测试了本书源码光盘上的部分代码。是本书最主要的审校者。
      张帆,1980年生于北京,毕业于北京理工大学电子工程系。目前在赛门铁克北京的研发中心从事信息安全方面的工作;著名畅销书《Windows驱动开发技术详解》的作者。阅读了全书的原稿,并给出了许多指导性的意见,并为本书作序。
      张银奎,国内著名的调试专家。目前和本书作者谭文在同一研发中心工作,著有《软件调试》一书。阅读了本书的全部原稿,修改了书中多处细节,给本书作者许多指导性的意见,并参与了本书的命名。
      马勇,驱动开发网的站长,国内知名的文件系统驱动专家。“驱网核心技术丛书”的组织和策划者之一,阅读了全书的原稿,并给出了许多指导性的意见。 第1章内核上机指导1
    Windows内核编程的动手有点麻烦,并不是仅仅安装一个独立的软件(比如VC)之后就可以安然地开始编写代码,然后运行了。需要下载开发包、配置开发环境、准备调试工具,可能还需要一些小工具协同工作。这一步拦住了不少的初学者。本章以详细图文攻略,来引导读者完成这一麻烦的步骤。
    1.1下载和使用WDK2
    1.1.1下载安装WDK2
    1.1.2编写第一个C文件3
    1.1.3编译一个工程5
    1.2安装与运行6
    1.2.1下载一个安装工具6
    1.2.2运行与查看输出信息7
    1.2.3在虚拟机中运行9
    1.3调试内核模块9
    1.3.1下载和安装WinDbg9
    1.3.2设置WindowsXP调试执行10
    1.3.3设置Vista调试执行11
    1.3.4设置VMWare的管道虚拟串口11
    1.3.5设置Windows内核符号表13
    1.3.6实战调试first14
    练习题16
    第2章内核编程环境及其特殊性17
    编写过驱动程序的读者可能会很熟悉这一切,但是对只从事过应用程序的读者而言,要理解内核编程环境的特殊性,就很需要一些功夫和悟性了。在应用程序中,多线程的情况已经带来了一定理解的困难;而内核代码呢?几乎无时无刻不运行在多线程之下。它从哪里开始?从哪里结束?它在什么进程内运行?这些问题一言难尽。
    2.1内核编程的环境18
    2.1.1隔离的应用程序18
    2.1.2共享的内核空间19
    2.1.3无处不在的内核模块20
    2.2数据类型21
    2.2.1基本数据类型21
    2.2.2返回状态22
    2.2.3字符串23
    2.3重要的数据结构23
    2.3.1驱动对象23
    2.3.2设备对象25
    2.3.3请求26
    2.4函数调用28
    2.4.1查阅帮助28
    2.4.2帮助中有的几类函数30
    2.4.3帮助中没有的函数32
    2.5Windows的驱动开发模型32
    2.6WDK编程中的特殊点33
    2.6.1内核编程的主要调用源33
    2.6.2函数的多线程安全性34
    2.6.3代码的中断级36
    2.6.4WDK中出现的特殊代码37
    练习题38
    第3章串口的过滤40
    在安全软件的开发中,串口驱动的应用并不常见。但是本书以串口驱动作为第一个介绍的实例。为何?仅仅是因为串口简单。从简单的例子入手,可以为读者带来稍许轻松的感受。
    3.1过滤的概念41
    3.1.1设备绑定的内核API之一41
    3.1.2设备绑定的内核API之二43
    3.1.3生成过滤设备并绑定43
    3.1.4从名字获得设备对象45
    3.1.5绑定所有串口46
    3.2获得实际数据47
    3.2.1请求的区分47
    3.2.2请求的结局48
    3.2.3写请求的数据49
    3.3完整的代码50
    3.3.1完整的分发函数50
    3.3.2如何动态卸载52
    3.3.3完整的代码53
    本章的示例代码53
    练习题54
    第4章键盘的过滤56
    键盘是很重要的输入设备!这是因为我们用键盘录入信息、用键盘输入密码,甚至用键盘编程,也用键盘著书立说。对于黑客来说,使用庞大的计算机资源去破解那些坚不可摧的加密算法,哪如偷偷地记下用户用键盘输入的密钥更加简单呢?本章专注于键盘的保护。
    4.1技术原理57
    4.1.1预备知识57
    4.1.2Windows中从击键到内核58
    4.1.3键盘硬件原理60
    4.2键盘过滤的框架61
    4.2.1找到所有的键盘设备61
    4.2.2应用设备扩展64
    4.2.3键盘过滤模块的DriverEntry65
    4.2.4键盘过滤模块的动态卸载66
    4.3键盘过滤的请求处理68
    4.3.1通常的处理68
    4.3.2PNP的处理69
    4.3.3读的处理70
    4.3.4读完成的处理71
    4.4从请求中打印出按键信息72
    4.4.1从缓冲区中获得KEYBOARD_INPUT_DATA72
    4.4.2从KEYBOARD_INPUT_DATA中得到键73
    4.4.3从MakeCode到实际字符74
    4.5Hook分发函数75
    4.5.1获得类驱动对象76
    4.5.2修改类驱动的分发函数指针77
    4.5.3类驱动之下的端口驱动78
    4.5.4端口驱动和类驱动之间的协作机制79
    4.5.5找到关键的回调函数的条件80
    4.5.6定义常数和数据结构80
    4.5.7打开两种键盘端口驱动寻找设备81
    4.5.8搜索在KbdClass类驱动中的地址83
    4.6Hook键盘中断反过滤86
    4.6.1中断:IRQ和INT86
    4.6.2如何修改IDT87
    4.6.3替换IDT中的跳转地址88
    4.6.4QQ的PS/2反过滤措施90
    4.7利用IOAPIC重定位中断处理函数90
    4.7.1什么是IOAPIC90
    4.7.2如何访问IOAPIC91
    4.7.3编程修改IOAPIC重定位表92
    4.7.4插入新的中断处理93
    4.7.5驱动入口和卸载的实现95
    4.8直接用端口操作键盘96
    4.8.1读取键盘数据和命令端口96
    4.8.2p2cUserFilter的最终实现97
    本章的示例代码98
    练习题99
    第5章磁盘的虚拟100
    CPU是计算机的核心,但是它不保存信息。如果它被窃,我们可以简单地购买一个新的。但是如果装满了机密信息的硬盘被窃了,那可就不是买一个新的就能弥补得了的。本章介绍硬盘内核魔术:虚拟硬盘。虚拟硬盘可以不被盗窃者利用吗?良好的设计可以做到这一点。
    5.1虚拟的磁盘101
    5.2一个具体的例子101
    5.3入口函数102
    5.3.1入口函数的定义102
    5.3.2Ramdisk驱动的入口函数103
    5.4EvtDriverDeviceAdd函数104
    5.4.1EvtDriverDeviceAdd的定义104
    5.4.2局部变量的声明105
    5.4.3磁盘设备的创建105
    5.4.4如何处理发往设备的请求107
    5.4.5用户配置的初始化108
    5.4.6链接给应用程序110
    5.4.7小结111
    5.5FAT12/16磁盘卷初始化111
    5.5.1磁盘卷结构简介111
    5.5.2Ramdisk对磁盘的初始化113
    5.6驱动中的请求处理119
    5.6.1请求的处理119
    5.6.2读/写请求120
    5.6.3DeviceIoControl请求122
    5.7Ramdisk的编译和安装124
    5.7.1编译124
    5.7.2安装125
    5.7.3对安装的深入探究125
    练习题126
    第6章磁盘过滤127
    很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题:重启之后,对硬盘的修改都奇迹般地消失了。这是怎么实现的呢?本章告诉您答案。
    6.1磁盘过滤驱动的概念128
    6.1.1设备过滤和类过滤128
    6.1.2磁盘设备和磁盘卷设备过滤驱动128
    6.1.3注册表和磁盘卷设备过滤驱动129
    6.2具有还原功能的磁盘卷过滤驱动129
    6.2.1简介129
    6.2.2基本思想130
    6.3驱动分析130
    6.3.1DriverEntry函数130
    6.3.2AddDevice函数132
    6.3.3PnP请求的处理136
    6.3.4Power请求的处理140
    6.3.5DeviceIoControl请求的处理140
    6.3.6bitmap的作用和分析144
    6.3.7boot驱动完成回调函数和稀疏文件150
    6.3.8读/写请求的处理152
    6.3.9示例代码160
    6.3.10练习题161
    第7章文件系统的过滤与监控162
    硬盘是硬盘,而文件系统是文件系统,可是有的人总是把它们当做一回事。其实硬盘很简单,硬盘就是一个很简单的保存信息的盒子;而复杂的是文件系统,它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家,我们当然不能让文件系统脱离我们的控制之外。
    7.1文件系统的设备对象163
    7.1.1控制设备与卷设备163
    7.1.2生成自己的一个控制设备165
    7.2文件系统的分发函数166
    7.2.1普通的分发函数166
    7.2.2文件过滤的快速IO分发函数167
    7.2.3快速IO分发函数的一个实现169
    7.2.4快速IO分发函数逐个简介170
    7.3设备的绑定前期工作172
    7.3.1动态地选择绑定函数172
    7.3.2注册文件系统变动回调173
    7.3.3文件系统变动回调的一个实现175
    7.3.4文件系统识别器176
    7.4文件系统控制设备的绑定177
    7.4.1生成文件系统控制设备的过滤设备177
    7.4.2绑定文件系统控制设备178
    7.4.3利用文件系统控制请求180
    7.5文件系统卷设备的绑定183
    7.5.1从IRP中获得VPB指针183
    7.5.2设置完成函数并等待IRP完成184
    7.5.3卷挂载IRP完成后的工作187
    7.5.4完成函数的相应实现190
    7.5.5绑定卷的实现191
    7.6读/写操作的过滤193
    7.6.1设置一个读处理函数193
    7.6.2设备对象的区分处理194
    7.6.3解析读请求中的文件信息195
    7.6.4读请求的完成198
    7.7其他操作的过滤202
    7.7.1文件对象的生存周期202
    7.7.2文件的打开与关闭203
    7.7.3文件的删除205
    7.8路径过滤的实现206
    7.8.1取得文件路径的3种情况206
    7.8.2打开成功后获取路径207
    7.8.3在其他时刻获得文件路径209
    7.8.4在打开请求完成之前获得路径名209
    7.8.5把短名转换为长名211
    7.9把sfilter编译成静态库212
    7.9.1如何方便地使用sfilter212
    7.9.2初始化回调、卸载回调和绑定回调213
    7.9.3绑定与回调215
    7.9.4插入请求回调216
    7.9.5如何利用sfilter.lib218
    本章的示例代码221
    练习题221
    第8章文件系统透明加密223
    如何阻止企业的机密文件被主动泄密,但是又不用关闭网络、禁止U盘等手段重重束缚大家?很多迹象表明,文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统,那么现在,该是我们摩拳擦掌,用它来保护我们的机密信息的时候了。
    8.1文件透明加密的应用224
    8.1.1防止企业信息泄密224
    8.1.2文件透明加密防止企业信息泄密224
    8.1.3文件透明加密软件的例子225
    8.2区分进程226
    8.2.1机密进程与普通进程226
    8.2.2找到进程名字的位置227
    8.2.3得到当前进程的名字228
    8.3内存映射与文件缓冲229
    8.3.1记事本的内存映射文件229
    8.3.2Windows的文件缓冲230
    8.3.3文件缓冲:明文还是密文的选择232
    8.3.4清除文件缓冲233
    8.4加密标识236
    8.4.1保存在文件外、文件头还是文件尾236
    8.4.2隐藏文件头的大小237
    8.4.3隐藏文件头的设置偏移239
    8.4.4隐藏文件头的读/写偏移240
    8.5文件加密表241
    8.5.1何时进行加密操作241
    8.5.2文件控制块与文件对象242
    8.5.3文件加密表的数据结构与初始化243
    8.5.4文件加密表的操作:查询244
    8.5.5文件加密表的操作:添加245
    8.5.6文件加密表的操作:删除246
    8.6文件打开处理248
    8.6.1直接发送IRP进行查询与设置操作248
    8.6.2直接发送IRP进行读/写操作250
    8.6.3文件的非重入打开252
    8.6.4文件的打开预处理255
    8.7读写加密/解密260
    8.7.1在读取时进行解密260
    8.7.2分配与释放MDL261
    8.7.3写请求加密262
    8.8crypt_file的组装265
    8.8.1crypt_file的初始化265
    8.8.2crypt_file的IRP预处理266
    8.8.3crypt_file的IRP后处理269
    本章的示例代码272
    练习题272
    第9章文件系统微过滤驱动273
    从来都不原地踏步的微软,早就准备好了下一代的文件系统过滤的框架、文档、代码例子。虽然本书的前两章的范例在Windows7上都还可以正常运行,但是如果不学习一下最新的接口,读者一定会觉得不自在。但是读者可以放心,在前面学习的基础上,了解新的接口是易如反掌的。
    9.1文件系统微过滤驱动简介274
    9.1.1文件系统微过滤驱动的由来274
    9.1.2Minifilter的优点与不足275
    9.2Minifilter的编程框架275
    9.2.1微文件系统过滤的注册276
    9.2.2微过滤器的数据结构277
    9.2.3卸载回调函数280
    9.2.4预操作回调函数281
    9.2.5后操作回调函数284
    9.2.6其他回调函数285
    9.3Minifilter如何与应用程序通信288
    9.3.1建立通信端口的方法288
    9.3.2在用户态通过DLL使用通信端口的范例290
    9.4Minifilter的安装与加载292
    9.4.1安装Minifilter的INF文件293
    9.4.2启动安装完成的Minifilter294
    本章的示例代码295
    练习题295
    第10章网络传输层过滤296
    笔者常常使用防火墙,它们看上去真的很神奇。如果怀疑自己的机器上有见不得人的进程打开了网络端口盗走机密信息,防火墙将提醒您,虽然防火墙并不知道它是否是一个木马。这是怎么做到的?本章为您揭晓谜底。
    10.1TDI概要297
    10.1.1为何选择TDI297
    10.1.2从socket到Windows内核297
    10.1.3TDI过滤的代码例子299
    10.2TDI的过滤框架299
    10.2.1绑定TDI的设备299
    10.2.2唯一的分发函数300
    10.2.3过滤框架的实现302
    10.2.4主要过滤的请求类型304
    10.3生成请求:获取地址305
    10.3.1过滤生成请求305
    10.3.2准备解析IP地址与端口307
    10.3.3获取生成的IP地址和端口308
    10.3.4连接终端的生成与相关信息的保存310
    10.4控制请求311
    10.4.1TDI_ASSOCIATE_ADDRESS的过滤311
    10.4.2TDI_CONNECT的过滤313
    10.4.3其他的次功能号314
    10.4.4设置事件的过滤316
    10.4.5TDI_EVENT_CONNECT类型的设置事件的过滤318
    10.4.6直接获取发送函数的过滤320
    10.4.7清理请求的过滤322
    10.5本书例子tdifw.lib的应用323
    10.5.1tdifw库的回调接口323
    10.5.2tdifw库的使用例子325
    本章的示例代码326
    练习题327
    第11章NDIS协议驱动328
    网络的连接只是外表而已,实际上,最终它们变成了一个个在网线上往返的网络包。高明的黑客是不会去用Socket来生成连接的。把黑暗的信息隐藏在单个的数据包里,你还可以发现它们吗?本章介绍的NDIS协议驱动,是Windows网络抓包工具的基础。
    11.1以太网包和网络驱动架构329
    11.1.1以太网包和协议驱动329
    11.1.2NDIS网络驱动330
    11.2协议驱动的DriverEntry331
    11.2.1生成控制设备331
    11.2.2注册协议333
    11.3协议与网卡的绑定335
    11.3.1协议与网卡的绑定概念335
    11.3.2绑定回调处理的实现335
    11.3.3协议绑定网卡的API338
    11.3.4解决绑定竞争问题339
    11.3.5分配接收和发送的包池与缓冲池340
    11.3.6OID请求的发送和请求完成回调342
    11.3.7ndisprotCreateBinding的最终实现345
    11.4绑定的解除351
    11.4.1解除绑定使用的API351
    11.4.2ndisprotShutdownBinding的实现353
    11.5在用户态操作协议驱动356
    11.5.1协议的收包与发包356
    11.5.2在用户态编程打开设备357
    11.5.3用DeviceIoControl发送控制请求358
    11.5.4用WriteFile发送数据包360
    11.5.5用ReadFile发送数据包362
    11.6在内核态完成功能的实现363
    11.6.1请求的分发与实现363
    11.6.2等待设备绑定完成与指定设备名364
    11.6.3指派设备的完成365
    11.6.4处理读请求368
    11.6.5处理写请求370
    11.7协议驱动的接收回调374
    11.7.1和接收包有关的回调函数374
    11.7.2ReceiveHandler的实现376
    11.7.3TransferDataCompleteHandler的实现380
    11.7.4ReceivePacketHandler的实现381
    11.7.5接收数据包的入队383
    11.7.6接收数据包的出队和读请求的完成385
    本章的示例代码388
    练习题389
    第12章NDIS小端口驱动390
    如果厌烦了漏洞百出的以太网,还有什么可以充当我的网络接口吗?当然,一切能通信的设备,皆有替代以太网的潜质。即使您不愿意修改无数通过TCP接口编程的应用程序,我们依然可以用其他通信设备来虚拟网卡。本章介绍小端口驱动来虚拟网卡的技术。
    12.1小端口驱动的应用与概述391
    12.1.1小端口驱动的应用391
    12.1.2小端口驱动的实例392
    12.1.3小端口驱动的运作与编程概述393
    12.2小端口驱动的初始化393
    12.2.1小端口驱动的DriverEntry393
    12.2.2小端口驱动的适配器结构396
    12.2.3配置信息的读取397
    12.2.4设置小端口适配器上下文398
    12.2.5MPInitialize的实现399
    12.2.6MPHalt的实现402
    12.3打开ndisprot设备403
    12.3.1I/O目标403
    12.3.2给IO目标发送DeviceIoControl请求404
    12.3.3打开ndisprot接口并完成配置设备406
    12.4使用ndisprot发送包409
    12.4.1小端口驱动的发包接口409
    12.4.2发送控制块(TCB)409
    12.4.3遍历包组并填写TCB412
    12.4.4写请求的构建与发送415
    12.5使用ndisprot接收包417
    12.5.1提交数据包的内核API417
    12.5.2从接收控制块(RCB)提交包418
    12.5.3对ndisprot读请求的完成函数420
    12.5.4读请求的发送422
    12.5.5用于读包的WDF工作任务424
    12.5.6ndisedge读工作任务的生成与入列426
    12.6其他的特征回调函数的实现428
    12.6.1包的归还428
    12.6.2OID查询处理的直接完成429
    12.6.3OID设置处理432
    本章的示例代码433
    练习题434
    第13章NDIS中间层驱动435
    当我们不满足于抓包和发包,而试图控制本机上流入和流出的所有数据包的时候,NDIS中间层驱动是最终的选择。防火墙的功能在这里得到加强:我们不再满足于看到连接、端口、对方IP地址,而是要看到每一个数据包的原始结构。本章介绍NDIS中间层驱动。
    13.1NDIS中间层驱动概述436
    13.1.1Windows网络架构总结436
    13.1.2NDIS中间层驱动简介437
    13.1.3NDIS中间层驱动的应用438
    13.1.4NDIS包描述符结构深究439
    13.2中间层驱动的入口与绑定442
    13.2.1中间层驱动的入口函数442
    13.2.2动态绑定NIC设备443
    13.2.3小端口初始化(MpInitialize)445
    13.3中间层驱动发送数据包447
    13.3.1发送数据包原理447
    13.3.2包描述符“重利用”448
    13.3.3包描述符“重申请”451
    13.3.4发送数据包的异步完成453
    13.4中间层驱动接收数据包455
    13.4.1接收数据包概述455
    13.4.2用PtReceive接收数据包456
    13.4.3用PtReceivePacket接收461
    13.4.4对包进行过滤463
    13.5中间层驱动程序查询和设置466
    13.5.1查询请求的处理466
    13.5.2设置请求的处理468
    13.6NDIS句柄470
    13.6.1不可见的结构指针470
    13.6.2常见的NDIS句柄471
    13.6.3NDIS句柄误用问题473
    13.6.4一种解决方案475
    13.7生成普通控制设备476
    13.7.1在中间层驱动中添加普通设备476
    13.7.2使用传统方法来生成控制设备478
    本章的示例代码483
    练习题483
    附录A如何使用本书的源码光盘485
  • 内容简介:
      《寒江独钓——Windows内核安全编程》从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及3类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows2000一直到目前最新的Windows7Beta版。
      本书适合大专院校计算机系的学生、普通Windows程序员、Windows内核程序员、信息安全行业的程序员,以及希望了解Windows系统底层知识的计算机编程爱好者使用。阅读本书,需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。
  • 作者简介:
      关于本书作者和贡献者
      主要作者:
      谭文,C程序员。1980年生于湖南。2002年毕业于西安交通大学自动控制系。毕业后一直从事各类系统底层软件的开发设计工作;目前在英特尔在上海紫竹科技园的研发中心参与不同平台二进制指令动态翻译系统的项目开发。爱好聊天、发帖。曾著有《天书夜读——从汇编语言到Windows内核编程》一书。编写本书的第1~3,7,8,10~12章,并统稿全书。
      杨潇,C程序员。1981年生于陕西。2006年毕业于西安交通大学自动控制研究所。一直从事各类系统软硬件接口部分的开发设计工作;目前在Comodo北京研发中心任职,负责各类Windows/Linux相关驱动的开发。爱好音乐、旅游和摄影。负责编写本书的第5,6章。
      邵坚磊,前执业医生,现C、汇编程序员。1976年生于上海,毕业于上海交通大学计算机系,具有临床医学和计算机专业的双学位。长期致力于x86体系架构与Windows系统底层技术的研究与相关开发工作;目前在上海某公司主持信息防泄密软件的Windows内核驱动的开发工作。是著名的反rootkit工具DarkSpy的作者之一。曾与谭文合著《天书夜读——从汇编语言到Windows内核编程》。爱好网游。编写本书的第4章。  
      其他有贡献的作者:
      卢冠豪,C程序员。1981年生于中国台湾。毕业于辅仁大学资讯工程学系。长期从事C、C++、网络与通信程序设计的工作;参与过“端点安全”、“资产管理”、“网络流量分析”等项目的开发与维护;擅长Windows项目开发。平时爱好吸收与科技电脑有关的新知识。受邀编写本书的第9章。
      张佩,C程序员,1982年生于江苏扬中,毕业于苏州大学。近三四年来,一直从事底层软件开发,乐此不疲。因偶然的机会参与了本书的写作,非常开心。现从事于一项音视频软件方面的项目。此人好读书,好写文章,好交朋友。为人善,与人交善,诚善人也。受邀编写本书的第13章。  
      其他有贡献者:
      杨瑾,西安交通大学在读博士生。在参与导师的项目过程中,因技术的需要阅读了本书的原稿,修改了书中的许多细节错误与纰漏,并按照本书介绍的步骤,编译、安装和测试了本书源码光盘上的部分代码。是本书最主要的审校者。
      张帆,1980年生于北京,毕业于北京理工大学电子工程系。目前在赛门铁克北京的研发中心从事信息安全方面的工作;著名畅销书《Windows驱动开发技术详解》的作者。阅读了全书的原稿,并给出了许多指导性的意见,并为本书作序。
      张银奎,国内著名的调试专家。目前和本书作者谭文在同一研发中心工作,著有《软件调试》一书。阅读了本书的全部原稿,修改了书中多处细节,给本书作者许多指导性的意见,并参与了本书的命名。
      马勇,驱动开发网的站长,国内知名的文件系统驱动专家。“驱网核心技术丛书”的组织和策划者之一,阅读了全书的原稿,并给出了许多指导性的意见。
  • 目录:
    第1章内核上机指导1
    Windows内核编程的动手有点麻烦,并不是仅仅安装一个独立的软件(比如VC)之后就可以安然地开始编写代码,然后运行了。需要下载开发包、配置开发环境、准备调试工具,可能还需要一些小工具协同工作。这一步拦住了不少的初学者。本章以详细图文攻略,来引导读者完成这一麻烦的步骤。
    1.1下载和使用WDK2
    1.1.1下载安装WDK2
    1.1.2编写第一个C文件3
    1.1.3编译一个工程5
    1.2安装与运行6
    1.2.1下载一个安装工具6
    1.2.2运行与查看输出信息7
    1.2.3在虚拟机中运行9
    1.3调试内核模块9
    1.3.1下载和安装WinDbg9
    1.3.2设置WindowsXP调试执行10
    1.3.3设置Vista调试执行11
    1.3.4设置VMWare的管道虚拟串口11
    1.3.5设置Windows内核符号表13
    1.3.6实战调试first14
    练习题16
    第2章内核编程环境及其特殊性17
    编写过驱动程序的读者可能会很熟悉这一切,但是对只从事过应用程序的读者而言,要理解内核编程环境的特殊性,就很需要一些功夫和悟性了。在应用程序中,多线程的情况已经带来了一定理解的困难;而内核代码呢?几乎无时无刻不运行在多线程之下。它从哪里开始?从哪里结束?它在什么进程内运行?这些问题一言难尽。
    2.1内核编程的环境18
    2.1.1隔离的应用程序18
    2.1.2共享的内核空间19
    2.1.3无处不在的内核模块20
    2.2数据类型21
    2.2.1基本数据类型21
    2.2.2返回状态22
    2.2.3字符串23
    2.3重要的数据结构23
    2.3.1驱动对象23
    2.3.2设备对象25
    2.3.3请求26
    2.4函数调用28
    2.4.1查阅帮助28
    2.4.2帮助中有的几类函数30
    2.4.3帮助中没有的函数32
    2.5Windows的驱动开发模型32
    2.6WDK编程中的特殊点33
    2.6.1内核编程的主要调用源33
    2.6.2函数的多线程安全性34
    2.6.3代码的中断级36
    2.6.4WDK中出现的特殊代码37
    练习题38
    第3章串口的过滤40
    在安全软件的开发中,串口驱动的应用并不常见。但是本书以串口驱动作为第一个介绍的实例。为何?仅仅是因为串口简单。从简单的例子入手,可以为读者带来稍许轻松的感受。
    3.1过滤的概念41
    3.1.1设备绑定的内核API之一41
    3.1.2设备绑定的内核API之二43
    3.1.3生成过滤设备并绑定43
    3.1.4从名字获得设备对象45
    3.1.5绑定所有串口46
    3.2获得实际数据47
    3.2.1请求的区分47
    3.2.2请求的结局48
    3.2.3写请求的数据49
    3.3完整的代码50
    3.3.1完整的分发函数50
    3.3.2如何动态卸载52
    3.3.3完整的代码53
    本章的示例代码53
    练习题54
    第4章键盘的过滤56
    键盘是很重要的输入设备!这是因为我们用键盘录入信息、用键盘输入密码,甚至用键盘编程,也用键盘著书立说。对于黑客来说,使用庞大的计算机资源去破解那些坚不可摧的加密算法,哪如偷偷地记下用户用键盘输入的密钥更加简单呢?本章专注于键盘的保护。
    4.1技术原理57
    4.1.1预备知识57
    4.1.2Windows中从击键到内核58
    4.1.3键盘硬件原理60
    4.2键盘过滤的框架61
    4.2.1找到所有的键盘设备61
    4.2.2应用设备扩展64
    4.2.3键盘过滤模块的DriverEntry65
    4.2.4键盘过滤模块的动态卸载66
    4.3键盘过滤的请求处理68
    4.3.1通常的处理68
    4.3.2PNP的处理69
    4.3.3读的处理70
    4.3.4读完成的处理71
    4.4从请求中打印出按键信息72
    4.4.1从缓冲区中获得KEYBOARD_INPUT_DATA72
    4.4.2从KEYBOARD_INPUT_DATA中得到键73
    4.4.3从MakeCode到实际字符74
    4.5Hook分发函数75
    4.5.1获得类驱动对象76
    4.5.2修改类驱动的分发函数指针77
    4.5.3类驱动之下的端口驱动78
    4.5.4端口驱动和类驱动之间的协作机制79
    4.5.5找到关键的回调函数的条件80
    4.5.6定义常数和数据结构80
    4.5.7打开两种键盘端口驱动寻找设备81
    4.5.8搜索在KbdClass类驱动中的地址83
    4.6Hook键盘中断反过滤86
    4.6.1中断:IRQ和INT86
    4.6.2如何修改IDT87
    4.6.3替换IDT中的跳转地址88
    4.6.4QQ的PS/2反过滤措施90
    4.7利用IOAPIC重定位中断处理函数90
    4.7.1什么是IOAPIC90
    4.7.2如何访问IOAPIC91
    4.7.3编程修改IOAPIC重定位表92
    4.7.4插入新的中断处理93
    4.7.5驱动入口和卸载的实现95
    4.8直接用端口操作键盘96
    4.8.1读取键盘数据和命令端口96
    4.8.2p2cUserFilter的最终实现97
    本章的示例代码98
    练习题99
    第5章磁盘的虚拟100
    CPU是计算机的核心,但是它不保存信息。如果它被窃,我们可以简单地购买一个新的。但是如果装满了机密信息的硬盘被窃了,那可就不是买一个新的就能弥补得了的。本章介绍硬盘内核魔术:虚拟硬盘。虚拟硬盘可以不被盗窃者利用吗?良好的设计可以做到这一点。
    5.1虚拟的磁盘101
    5.2一个具体的例子101
    5.3入口函数102
    5.3.1入口函数的定义102
    5.3.2Ramdisk驱动的入口函数103
    5.4EvtDriverDeviceAdd函数104
    5.4.1EvtDriverDeviceAdd的定义104
    5.4.2局部变量的声明105
    5.4.3磁盘设备的创建105
    5.4.4如何处理发往设备的请求107
    5.4.5用户配置的初始化108
    5.4.6链接给应用程序110
    5.4.7小结111
    5.5FAT12/16磁盘卷初始化111
    5.5.1磁盘卷结构简介111
    5.5.2Ramdisk对磁盘的初始化113
    5.6驱动中的请求处理119
    5.6.1请求的处理119
    5.6.2读/写请求120
    5.6.3DeviceIoControl请求122
    5.7Ramdisk的编译和安装124
    5.7.1编译124
    5.7.2安装125
    5.7.3对安装的深入探究125
    练习题126
    第6章磁盘过滤127
    很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题:重启之后,对硬盘的修改都奇迹般地消失了。这是怎么实现的呢?本章告诉您答案。
    6.1磁盘过滤驱动的概念128
    6.1.1设备过滤和类过滤128
    6.1.2磁盘设备和磁盘卷设备过滤驱动128
    6.1.3注册表和磁盘卷设备过滤驱动129
    6.2具有还原功能的磁盘卷过滤驱动129
    6.2.1简介129
    6.2.2基本思想130
    6.3驱动分析130
    6.3.1DriverEntry函数130
    6.3.2AddDevice函数132
    6.3.3PnP请求的处理136
    6.3.4Power请求的处理140
    6.3.5DeviceIoControl请求的处理140
    6.3.6bitmap的作用和分析144
    6.3.7boot驱动完成回调函数和稀疏文件150
    6.3.8读/写请求的处理152
    6.3.9示例代码160
    6.3.10练习题161
    第7章文件系统的过滤与监控162
    硬盘是硬盘,而文件系统是文件系统,可是有的人总是把它们当做一回事。其实硬盘很简单,硬盘就是一个很简单的保存信息的盒子;而复杂的是文件系统,它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家,我们当然不能让文件系统脱离我们的控制之外。
    7.1文件系统的设备对象163
    7.1.1控制设备与卷设备163
    7.1.2生成自己的一个控制设备165
    7.2文件系统的分发函数166
    7.2.1普通的分发函数166
    7.2.2文件过滤的快速IO分发函数167
    7.2.3快速IO分发函数的一个实现169
    7.2.4快速IO分发函数逐个简介170
    7.3设备的绑定前期工作172
    7.3.1动态地选择绑定函数172
    7.3.2注册文件系统变动回调173
    7.3.3文件系统变动回调的一个实现175
    7.3.4文件系统识别器176
    7.4文件系统控制设备的绑定177
    7.4.1生成文件系统控制设备的过滤设备177
    7.4.2绑定文件系统控制设备178
    7.4.3利用文件系统控制请求180
    7.5文件系统卷设备的绑定183
    7.5.1从IRP中获得VPB指针183
    7.5.2设置完成函数并等待IRP完成184
    7.5.3卷挂载IRP完成后的工作187
    7.5.4完成函数的相应实现190
    7.5.5绑定卷的实现191
    7.6读/写操作的过滤193
    7.6.1设置一个读处理函数193
    7.6.2设备对象的区分处理194
    7.6.3解析读请求中的文件信息195
    7.6.4读请求的完成198
    7.7其他操作的过滤202
    7.7.1文件对象的生存周期202
    7.7.2文件的打开与关闭203
    7.7.3文件的删除205
    7.8路径过滤的实现206
    7.8.1取得文件路径的3种情况206
    7.8.2打开成功后获取路径207
    7.8.3在其他时刻获得文件路径209
    7.8.4在打开请求完成之前获得路径名209
    7.8.5把短名转换为长名211
    7.9把sfilter编译成静态库212
    7.9.1如何方便地使用sfilter212
    7.9.2初始化回调、卸载回调和绑定回调213
    7.9.3绑定与回调215
    7.9.4插入请求回调216
    7.9.5如何利用sfilter.lib218
    本章的示例代码221
    练习题221
    第8章文件系统透明加密223
    如何阻止企业的机密文件被主动泄密,但是又不用关闭网络、禁止U盘等手段重重束缚大家?很多迹象表明,文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统,那么现在,该是我们摩拳擦掌,用它来保护我们的机密信息的时候了。
    8.1文件透明加密的应用224
    8.1.1防止企业信息泄密224
    8.1.2文件透明加密防止企业信息泄密224
    8.1.3文件透明加密软件的例子225
    8.2区分进程226
    8.2.1机密进程与普通进程226
    8.2.2找到进程名字的位置227
    8.2.3得到当前进程的名字228
    8.3内存映射与文件缓冲229
    8.3.1记事本的内存映射文件229
    8.3.2Windows的文件缓冲230
    8.3.3文件缓冲:明文还是密文的选择232
    8.3.4清除文件缓冲233
    8.4加密标识236
    8.4.1保存在文件外、文件头还是文件尾236
    8.4.2隐藏文件头的大小237
    8.4.3隐藏文件头的设置偏移239
    8.4.4隐藏文件头的读/写偏移240
    8.5文件加密表241
    8.5.1何时进行加密操作241
    8.5.2文件控制块与文件对象242
    8.5.3文件加密表的数据结构与初始化243
    8.5.4文件加密表的操作:查询244
    8.5.5文件加密表的操作:添加245
    8.5.6文件加密表的操作:删除246
    8.6文件打开处理248
    8.6.1直接发送IRP进行查询与设置操作248
    8.6.2直接发送IRP进行读/写操作250
    8.6.3文件的非重入打开252
    8.6.4文件的打开预处理255
    8.7读写加密/解密260
    8.7.1在读取时进行解密260
    8.7.2分配与释放MDL261
    8.7.3写请求加密262
    8.8crypt_file的组装265
    8.8.1crypt_file的初始化265
    8.8.2crypt_file的IRP预处理266
    8.8.3crypt_file的IRP后处理269
    本章的示例代码272
    练习题272
    第9章文件系统微过滤驱动273
    从来都不原地踏步的微软,早就准备好了下一代的文件系统过滤的框架、文档、代码例子。虽然本书的前两章的范例在Windows7上都还可以正常运行,但是如果不学习一下最新的接口,读者一定会觉得不自在。但是读者可以放心,在前面学习的基础上,了解新的接口是易如反掌的。
    9.1文件系统微过滤驱动简介274
    9.1.1文件系统微过滤驱动的由来274
    9.1.2Minifilter的优点与不足275
    9.2Minifilter的编程框架275
    9.2.1微文件系统过滤的注册276
    9.2.2微过滤器的数据结构277
    9.2.3卸载回调函数280
    9.2.4预操作回调函数281
    9.2.5后操作回调函数284
    9.2.6其他回调函数285
    9.3Minifilter如何与应用程序通信288
    9.3.1建立通信端口的方法288
    9.3.2在用户态通过DLL使用通信端口的范例290
    9.4Minifilter的安装与加载292
    9.4.1安装Minifilter的INF文件293
    9.4.2启动安装完成的Minifilter294
    本章的示例代码295
    练习题295
    第10章网络传输层过滤296
    笔者常常使用防火墙,它们看上去真的很神奇。如果怀疑自己的机器上有见不得人的进程打开了网络端口盗走机密信息,防火墙将提醒您,虽然防火墙并不知道它是否是一个木马。这是怎么做到的?本章为您揭晓谜底。
    10.1TDI概要297
    10.1.1为何选择TDI297
    10.1.2从socket到Windows内核297
    10.1.3TDI过滤的代码例子299
    10.2TDI的过滤框架299
    10.2.1绑定TDI的设备299
    10.2.2唯一的分发函数300
    10.2.3过滤框架的实现302
    10.2.4主要过滤的请求类型304
    10.3生成请求:获取地址305
    10.3.1过滤生成请求305
    10.3.2准备解析IP地址与端口307
    10.3.3获取生成的IP地址和端口308
    10.3.4连接终端的生成与相关信息的保存310
    10.4控制请求311
    10.4.1TDI_ASSOCIATE_ADDRESS的过滤311
    10.4.2TDI_CONNECT的过滤313
    10.4.3其他的次功能号314
    10.4.4设置事件的过滤316
    10.4.5TDI_EVENT_CONNECT类型的设置事件的过滤318
    10.4.6直接获取发送函数的过滤320
    10.4.7清理请求的过滤322
    10.5本书例子tdifw.lib的应用323
    10.5.1tdifw库的回调接口323
    10.5.2tdifw库的使用例子325
    本章的示例代码326
    练习题327
    第11章NDIS协议驱动328
    网络的连接只是外表而已,实际上,最终它们变成了一个个在网线上往返的网络包。高明的黑客是不会去用Socket来生成连接的。把黑暗的信息隐藏在单个的数据包里,你还可以发现它们吗?本章介绍的NDIS协议驱动,是Windows网络抓包工具的基础。
    11.1以太网包和网络驱动架构329
    11.1.1以太网包和协议驱动329
    11.1.2NDIS网络驱动330
    11.2协议驱动的DriverEntry331
    11.2.1生成控制设备331
    11.2.2注册协议333
    11.3协议与网卡的绑定335
    11.3.1协议与网卡的绑定概念335
    11.3.2绑定回调处理的实现335
    11.3.3协议绑定网卡的API338
    11.3.4解决绑定竞争问题339
    11.3.5分配接收和发送的包池与缓冲池340
    11.3.6OID请求的发送和请求完成回调342
    11.3.7ndisprotCreateBinding的最终实现345
    11.4绑定的解除351
    11.4.1解除绑定使用的API351
    11.4.2ndisprotShutdownBinding的实现353
    11.5在用户态操作协议驱动356
    11.5.1协议的收包与发包356
    11.5.2在用户态编程打开设备357
    11.5.3用DeviceIoControl发送控制请求358
    11.5.4用WriteFile发送数据包360
    11.5.5用ReadFile发送数据包362
    11.6在内核态完成功能的实现363
    11.6.1请求的分发与实现363
    11.6.2等待设备绑定完成与指定设备名364
    11.6.3指派设备的完成365
    11.6.4处理读请求368
    11.6.5处理写请求370
    11.7协议驱动的接收回调374
    11.7.1和接收包有关的回调函数374
    11.7.2ReceiveHandler的实现376
    11.7.3TransferDataCompleteHandler的实现380
    11.7.4ReceivePacketHandler的实现381
    11.7.5接收数据包的入队383
    11.7.6接收数据包的出队和读请求的完成385
    本章的示例代码388
    练习题389
    第12章NDIS小端口驱动390
    如果厌烦了漏洞百出的以太网,还有什么可以充当我的网络接口吗?当然,一切能通信的设备,皆有替代以太网的潜质。即使您不愿意修改无数通过TCP接口编程的应用程序,我们依然可以用其他通信设备来虚拟网卡。本章介绍小端口驱动来虚拟网卡的技术。
    12.1小端口驱动的应用与概述391
    12.1.1小端口驱动的应用391
    12.1.2小端口驱动的实例392
    12.1.3小端口驱动的运作与编程概述393
    12.2小端口驱动的初始化393
    12.2.1小端口驱动的DriverEntry393
    12.2.2小端口驱动的适配器结构396
    12.2.3配置信息的读取397
    12.2.4设置小端口适配器上下文398
    12.2.5MPInitialize的实现399
    12.2.6MPHalt的实现402
    12.3打开ndisprot设备403
    12.3.1I/O目标403
    12.3.2给IO目标发送DeviceIoControl请求404
    12.3.3打开ndisprot接口并完成配置设备406
    12.4使用ndisprot发送包409
    12.4.1小端口驱动的发包接口409
    12.4.2发送控制块(TCB)409
    12.4.3遍历包组并填写TCB412
    12.4.4写请求的构建与发送415
    12.5使用ndisprot接收包417
    12.5.1提交数据包的内核API417
    12.5.2从接收控制块(RCB)提交包418
    12.5.3对ndisprot读请求的完成函数420
    12.5.4读请求的发送422
    12.5.5用于读包的WDF工作任务424
    12.5.6ndisedge读工作任务的生成与入列426
    12.6其他的特征回调函数的实现428
    12.6.1包的归还428
    12.6.2OID查询处理的直接完成429
    12.6.3OID设置处理432
    本章的示例代码433
    练习题434
    第13章NDIS中间层驱动435
    当我们不满足于抓包和发包,而试图控制本机上流入和流出的所有数据包的时候,NDIS中间层驱动是最终的选择。防火墙的功能在这里得到加强:我们不再满足于看到连接、端口、对方IP地址,而是要看到每一个数据包的原始结构。本章介绍NDIS中间层驱动。
    13.1NDIS中间层驱动概述436
    13.1.1Windows网络架构总结436
    13.1.2NDIS中间层驱动简介437
    13.1.3NDIS中间层驱动的应用438
    13.1.4NDIS包描述符结构深究439
    13.2中间层驱动的入口与绑定442
    13.2.1中间层驱动的入口函数442
    13.2.2动态绑定NIC设备443
    13.2.3小端口初始化(MpInitialize)445
    13.3中间层驱动发送数据包447
    13.3.1发送数据包原理447
    13.3.2包描述符“重利用”448
    13.3.3包描述符“重申请”451
    13.3.4发送数据包的异步完成453
    13.4中间层驱动接收数据包455
    13.4.1接收数据包概述455
    13.4.2用PtReceive接收数据包456
    13.4.3用PtReceivePacket接收461
    13.4.4对包进行过滤463
    13.5中间层驱动程序查询和设置466
    13.5.1查询请求的处理466
    13.5.2设置请求的处理468
    13.6NDIS句柄470
    13.6.1不可见的结构指针470
    13.6.2常见的NDIS句柄471
    13.6.3NDIS句柄误用问题473
    13.6.4一种解决方案475
    13.7生成普通控制设备476
    13.7.1在中间层驱动中添加普通设备476
    13.7.2使用传统方法来生成控制设备478
    本章的示例代码483
    练习题483
    附录A如何使用本书的源码光盘485
查看详情
好书推荐 / 更多
寒江独钓
传统十论:本土社会的制度、文化与其变革
秦晖 著
寒江独钓
翁达杰作品系列:英国病人(精装)
[加]迈克尔·翁达杰 著;丁骏 译
寒江独钓
软件体的生命周期:特德·姜科幻小说集
[美]特德·姜
寒江独钓
汉唐文学与文献论考
陈尚君 著
寒江独钓
中国佛学源流略讲
吕澂 著
寒江独钓
明清稿抄校本鉴定
陈先行、石菲 著
寒江独钓
瓦檐下的旧器物
黄孝纪
寒江独钓
索恩丛书·自由的流亡者:永失美国与大英帝国的东山再起(套装全2册)
马娅·亚桑诺夫(Maya Jasanoff) 著;马睿 译
寒江独钓
维米尔
北寺 译 者;[英]路德维希·戈德沙伊德(Ludwig Goldscheider)
寒江独钓
做工的人
林立青 著;赖小路 摄影
寒江独钓
与绝迹之鸟的短暂邂逅
[美]本·方登 著
寒江独钓
[日]吉田修一 Yoshida Shuichi 著;岳远坤 译