新书报告

我要看到有驱动 系统等方面的书在这里报告

《自己动手写操作系统》的第2版 Orange‘S：一个操作系统的实现

Windows内核情景分析-采用开源代码ReactOS(上、下册) 毛德操/

《精通Linux驱动程序开发(英文版)
 在这部贴近实战、实例丰富的著作中，世界上经验最丰富的Linux驱动程序开发者之一系统全面地阐述了如何为各种设备开发可靠的驱动程序。在回顾了驱动开发的各种基础知识和最新的Linux 2.6内核相关特性之后，作者不仅讲述了其他设备驱动程序图书中都会涉及的较容易的内容，更迎难而上，深入探讨了驱动开发包括嵌入式Linux开发中必须面对的难点，比如PCMCIA、USB、I2C、视频、音频、闪存、无线通信等，揭示了许多内幕技术的秘密。对每种驱动程序，书中在剖析关键技术之外，还带你查看相关的内核源代码，提供完整的实例。

寒江独钓-Windows内核安全编程(预订,估价)
出版社　： 电子工业出版社
系列名　：驱网核心技术丛书
作者　　： 谭文/ 杨潇/ 邵坚磊 等/ [作者简介]  
 
浏览次数：21 次
出版日期：2009年6月
版别版次：2009年6月第1版第1次印刷
 本书勘误：有(0)条勘误
综合评价： 暂无评价   ()条评论  
国标编号：9787121087967
条形码　：9787121087967
开本　　：16
附带物　：    
 
相关信息： 1CD
 本书从Windows内核编程出发，全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术，以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括：Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动（包括TDI过滤驱动及3类NDIS驱动），以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构，并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性，适合从Windows 2000一直到目前最新的Windows 7 Beta版。
    本书适合大专院校计算机系的学生、普通Windows程序员、Windows内核程序员、信息安全行业的程序员，以及希望了解Windows系统底层知识的计算机编程爱好者使用。阅读本书，需要读者有C语言、数据结构、操作系统和计算机网络的基础知识。

第1章  内核上机指导    1
Windows内核编程的动手有点麻烦，并不是仅仅安装一个独立的软件（比如VC）之后就可以安然地开始编写代码，然后运行了。需要下载开发包、配置开发环境、准备调试工具，可能还需要一些小工具协同工作。这一步拦住了不少的初学者。本章以详细图文攻略，来引导读者完成这一麻烦的步骤。
1.1  下载和使用WDK    2
1.1.1  下载安装WDK    2
1.1.2  编写第一个C文件    3
1.1.3  编译一个工程    5
1.2  安装与运行    6
1.2.1  下载一个安装工具    6
1.2.2  运行与查看输出信息    7
1.2.3  在虚拟机中运行    9
1.3  调试内核模块    9
1.3.1  下载和安装WinDbg    9
1.3.2  设置Windows XP调试执行    10
1.3.3  设置Vista调试执行    11
1.3.4  设置VMWare的管道虚拟串口    11
1.3.5  设置Windows内核符号表    13
1.3.6  实战调试first    14
练习题    16
第2章  内核编程环境及其特殊性    17
编写过驱动程序的读者可能会很熟悉这一切，但是对只从事过应用程序的读者而言，要理解内核编程环境的特殊性，就很需要一些功夫和悟性了。在应用程序中，多线程的情况已经带来了一定理解的困难；而内核代码呢？几乎无时无刻不运行在多线程之下。它从哪里开始？从哪里结束？它在什么进程内运行？这些问题一言难尽。
2.1  内核编程的环境    18
2.1.1  隔离的应用程序    18
2.1.2  共享的内核空间    19
2.1.3  无处不在的内核模块    20
2.2  数据类型    21
2.2.1  基本数据类型    21
2.2.2  返回状态    22
2.2.3  字符串    23
2.3  重要的数据结构    23
2.3.1  驱动对象    23
2.3.2  设备对象    25
2.3.3  请求    26
2.4  函数调用    28
2.4.1  查阅帮助    28
2.4.2  帮助中有的几类函数    30
2.4.3  帮助中没有的函数    32
2.5  Windows的驱动开发模型    32
2.6  WDK编程中的特殊点    33
2.6.1  内核编程的主要调用源    33
2.6.2  函数的多线程安全性    34
2.6.3  代码的中断级    36
2.6.4 WDK中出现的特殊代码    37
练习题    38
第3章  串口的过滤    40
在安全软件的开发中，串口驱动的应用并不常见。但是本书以串口驱动作为第一个介绍的实例。为何？仅仅是因为串口简单。从简单的例子入手，可以为读者带来稍许轻松的感受。
3.1  过滤的概念    41
3.1.1  设备绑定的内核API之一    41
3.1.2  设备绑定的内核API之二    43
3.1.3  生成过滤设备并绑定    43
3.1.4  从名字获得设备对象    45
3.1.5  绑定所有串口    46
3.2  获得实际数据    47
3.2.1  请求的区分    47
3.2.2  请求的结局    48
3.2.3  写请求的数据    49
3.3  完整的代码    50
3.3.1  完整的分发函数    50
3.3.2  如何动态卸载    52
3.3.3  完整的代码    53
本章的示例代码    53
练习题    54
第4章  键盘的过滤    56
键盘是很重要的输入设备！这是因为我们用键盘录入信息、用键盘输入密码，甚至用键盘编程，也用键盘著书立说。对于黑客来说，使用庞大的计算机资源去破解那些坚不可摧的加密算法，哪如偷偷地记下用户用键盘输入的密钥更加简单呢？本章专注于键盘的保护。
4.1  技术原理    57
4.1.1  预备知识    57
4.1.2  Windows中从击键到内核    58
4.1.3  键盘硬件原理    60
4.2  键盘过滤的框架    61
4.2.1  找到所有的键盘设备    61
4.2.2  应用设备扩展    64
4.2.3  键盘过滤模块的DriverEntry    65
4.2.4  键盘过滤模块的动态卸载    66
4.3  键盘过滤的请求处理    68
4.3.1  通常的处理    68
4.3.2  PNP的处理    69
4.3.3  读的处理    70
4.3.4  读完成的处理    71
4.4  从请求中打印出按键信息    72
4.4.1  从缓冲区中获得KEYBOARD_INPUT_DATA    72
4.4.2  从KEYBOARD_INPUT_DATA中得到键    73
4.4.3  从MakeCode到实际字符    74
4.5  Hook分发函数    75
4.5.1  获得类驱动对象    76
4.5.2  修改类驱动的分发函数指针    77
4.5.3  类驱动之下的端口驱动    78
4.5.4  端口驱动和类驱动之间的协作机制    79
4.5.5  找到关键的回调函数的条件    80
4.5.6  定义常数和数据结构    80
4.5.7  打开两种键盘端口驱动寻找设备    81
4.5.8  搜索在KbdClass类驱动中的地址    83
4.6  Hook键盘中断反过滤    86
4.6.1  中断：IRQ和INT    86
4.6.2  如何修改IDT    87
4.6.3  替换IDT中的跳转地址    88
4.6.4  QQ的PS/2反过滤措施    90
4.7  利用IOAPIC重定位中断处理函数    90
4.7.1  什么是IOAPIC    90
4.7.2  如何访问IOAPIC    91
4.7.3  编程修改IOAPIC重定位表    92
4.7.4  插入新的中断处理    93
4.7.5  驱动入口和卸载的实现    95
4.8  直接用端口操作键盘    96
4.8.1  读取键盘数据和命令端口    96
4.8.2  p2cUserFilter的最终实现    97
本章的示例代码    98
练习题    99
第5章  磁盘的虚拟    100
CPU是计算机的核心，但是它不保存信息。如果它被窃，我们可以简单地购买一个新的。但是如果装满了机密信息的硬盘被窃了，那可就不是买一个新的就能弥补得了的。本章介绍硬盘内核魔术：虚拟硬盘。虚拟硬盘可以不被盗窃者利用吗？良好的设计可以做到这一点。
5.1  虚拟的磁盘    101
5.2  一个具体的例子    101
5.3  入口函数    102
5.3.1  入口函数的定义    102
5.3.2  Ramdisk驱动的入口函数    103
5.4  EvtDriverDeviceAdd函数    104
5.4.1  EvtDriverDeviceAdd的定义    104
5.4.2  局部变量的声明    105
5.4.3  磁盘设备的创建    105
5.4.4  如何处理发往设备的请求    107
5.4.5  用户配置的初始化    108
5.4.6  链接给应用程序    110
5.4.7  小结    111
5.5  FAT12/16磁盘卷初始化    111
5.5.1  磁盘卷结构简介    111
5.5.2  Ramdisk对磁盘的初始化    113
5.6  驱动中的请求处理    119
5.6.1  请求的处理    119
5.6.2  读/写请求    120
5.6.3  DeviceIoControl请求    122
5.7  Ramdisk的编译和安装    124
5.7.1  编译    124
5.7.2  安装    125
5.7.3  对安装的深入探究    125
练习题    126
第6章  磁盘过滤    127
很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题：重启之后，对硬盘的修改都奇迹般地消失了。这是怎么实现的呢？本章告诉您答案。
6.1  磁盘过滤驱动的概念    128
6.1.1  设备过滤和类过滤    128
6.1.2  磁盘设备和磁盘卷设备过滤驱动    128
6.1.3  注册表和磁盘卷设备过滤驱动    129
6.2  具有还原功能的磁盘卷过滤驱动    129
6.2.1  简介    129
6.2.2  基本思想    130
6.3  驱动分析    130
6.3.1  DriverEntry函数    130
6.3.2  AddDevice函数    132
6.3.3  PnP请求的处理    136
6.3.4  Power请求的处理    140
6.3.5  DeviceIoControl请求的处理    140
6.3.6  bitmap的作用和分析    144
6.3.7  boot驱动完成回调函数和稀疏文件    150
6.3.8  读/写请求的处理    152
6.3.9  示例代码    160
6.3.10  练习题    161
第7章  文件系统的过滤与监控    162
硬盘是硬盘，而文件系统是文件系统，可是有的人总是把它们当做一回事。其实硬盘很简单，硬盘就是一个很简单的保存信息的盒子；而复杂的是文件系统，它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家，我们当然不能让文件系统脱离我们的控制之外。
7.1  文件系统的设备对象    163
7.1.1  控制设备与卷设备    163
7.1.2  生成自己的一个控制设备    165
7.2  文件系统的分发函数    166
7.2.1  普通的分发函数    166
7.2.2  文件过滤的快速IO分发函数    167
7.2.3  快速IO分发函数的一个实现    169
7.2.4  快速IO分发函数逐个简介    170
7.3  设备的绑定前期工作    172
7.3.1  动态地选择绑定函数    172
7.3.2  注册文件系统变动回调    173
7.3.3  文件系统变动回调的一个实现    175
7.3.4  文件系统识别器    176
7.4  文件系统控制设备的绑定    177
7.4.1  生成文件系统控制设备的过滤设备    177
7.4.2  绑定文件系统控制设备    178
7.4.3  利用文件系统控制请求    180
7.5  文件系统卷设备的绑定    183
7.5.1  从IRP中获得VPB指针    183
7.5.2  设置完成函数并等待IRP完成    184
7.5.3  卷挂载IRP完成后的工作    187
7.5.4  完成函数的相应实现    190
7.5.5  绑定卷的实现    191
7.6  读/写操作的过滤    193
7.6.1  设置一个读处理函数    193
7.6.2  设备对象的区分处理    194
7.6.3  解析读请求中的文件信息    195
7.6.4  读请求的完成    198
7.7  其他操作的过滤    202
7.7.1  文件对象的生存周期    202
7.7.2  文件的打开与关闭    203
7.7.3  文件的删除    205
7.8  路径过滤的实现    206
7.8.1  取得文件路径的3种情况    206
7.8.2  打开成功后获取路径    207
7.8.3  在其他时刻获得文件路径    209
7.8.4  在打开请求完成之前获得路径名    209
7.8.5  把短名转换为长名    211
7.9  把sfilter编译成静态库    212
7.9.1  如何方便地使用sfilter    212
7.9.2  初始化回调、卸载回调和绑定回调    213
7.9.3  绑定与回调    215
7.9.4  插入请求回调    216
7.9.5  如何利用sfilter.lib    218
本章的示例代码    221
练习题    221
第8章  文件系统透明加密    223
如何阻止企业的机密文件被主动泄密，但是又不用关闭网络、禁止U盘等手段重重束缚大家？很多迹象表明，文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统，那么现在，该是我们摩拳擦掌，用它来保护我们的机密信息的时候了。
8.1  文件透明加密的应用    224
8.1.1  防止企业信息泄密    224
8.1.2  文件透明加密防止企业信息泄密    224
8.1.3  文件透明加密软件的例子    225
8.2  区分进程    226
8.2.1  机密进程与普通进程    226
8.2.2  找到进程名字的位置    227
8.2.3  得到当前进程的名字    228
8.3  内存映射与文件缓冲    229
8.3.1  记事本的内存映射文件    229
8.3.2  Windows的文件缓冲    230
8.3.3  文件缓冲：明文还是密文的选择    232
8.3.4  清除文件缓冲    233
8.4  加密标识    236
8.4.1  保存在文件外、文件头还是文件尾    236
8.4.2  隐藏文件头的大小    237
8.4.3  隐藏文件头的设置偏移    239
8.4.4  隐藏文件头的读/写偏移    240
8.5  文件加密表    241
8.5.1  何时进行加密操作    241
8.5.2  文件控制块与文件对象    242
8.5.3  文件加密表的数据结构与初始化    243
8.5.4  文件加密表的操作：查询    244
8.5.5  文件加密表的操作：添加    245
8.5.6  文件加密表的操作：删除    246
8.6  文件打开处理    248
8.6.1  直接发送IRP进行查询与设置操作    248
8.6.2  直接发送IRP进行读/写操作    250
8.6.3  文件的非重入打开    252
8.6.4  文件的打开预处理    255
8.7  读写加密/解密    260
8.7.1  在读取时进行解密    260
8.7.2  分配与释放MDL    261
8.7.3  写请求加密    262
8.8  crypt_file的组装    265
8.8.1  crypt_file的初始化    265
8.8.2  crypt_file的IRP预处理    266
8.8.3  crypt_file的IRP后处理    269
本章的示例代码    272
练习题    272
第9章  文件系统微过滤驱动    273
从来都不原地踏步的微软，早就准备好了下一代的文件系统过滤的框架、文档、代码例子。虽然本书的前两章的范例在Windows 7上都还可以正常运行，但是如果不学习一下最新的接口，读者一定会觉得不自在。但是读者可以放心，在前面学习的基础上，了解新的接口是易如反掌的。
9.1  文件系统微过滤驱动简介    274
9.1.1  文件系统微过滤驱动的由来    274
9.1.2  Minifilter的优点与不足    275
9.2  Minifilter的编程框架    275
9.2.1  微文件系统过滤的注册    276
9.2.2  微过滤器的数据结构    277
9.2.3  卸载回调函数    280
9.2.4  预操作回调函数    281
9.2.5  后操作回调函数    284
9.2.6  其他回调函数    285
9.3  Minifilter如何与应用程序通信    288
9.3.1  建立通信端口的方法    288
9.3.2  在用户态通过DLL使用通信端口的范例    290
9.4  Minifilter的安装与加载    292
9.4.1  安装Minifilter的INF文件    293
9.4.2  启动安装完成的Minifilter    294
本章的示例代码    295
练习题    295
第10章  网络传输层过滤    296
笔者常常使用防火墙，它们看上去真的很神奇。如果怀疑自己的机器上有见不得人的进程打开了网络端口盗走机密信息，防火墙将提醒您，虽然防火墙并不知道它是否是一个木马。这是怎么做到的？本章为您揭晓谜底。
10.1  TDI概要    297
10.1.1  为何选择TDI    297
10.1.2  从socket到Windows内核    297
10.1.3  TDI过滤的代码例子    299
10.2  TDI的过滤框架    299
10.2.1  绑定TDI的设备    299
10.2.2  唯一的分发函数    300
10.2.3  过滤框架的实现    302
10.2.4  主要过滤的请求类型    304
10.3  生成请求：获取地址    305
10.3.1  过滤生成请求    305
10.3.2  准备解析IP地址与端口    307
10.3.3  获取生成的IP地址和端口    308
10.3.4  连接终端的生成与相关信息的保存    310
10.4  控制请求    311
10.4.1  TDI_ASSOCIATE_ADDRESS的过滤    311
10.4.2  TDI_CONNECT的过滤    313
10.4.3  其他的次功能号    314
10.4.4  设置事件的过滤    316
10.4.5  TDI_EVENT_CONNECT类型的设置事件的过滤    318
10.4.6  直接获取发送函数的过滤    320
10.4.7  清理请求的过滤    322
10.5  本书例子tdifw.lib的应用    323
10.5.1  tdifw库的回调接口    323
10.5.2  tdifw库的使用例子    325
本章的示例代码    326
练习题    327
第11章  NDIS协议驱动    328
网络的连接只是外表而已，实际上，最终它们变成了一个个在网线上往返的网络包。高明的黑客是不会去用Socket来生成连接的。把黑暗的信息隐藏在单个的数据包里，你还可以发现它们吗？本章介绍的NDIS协议驱动，是Windows网络抓包工具的基础。
11.1  以太网包和网络驱动架构    329
11.1.1  以太网包和协议驱动    329
11.1.2  NDIS网络驱动    330
11.2  协议驱动的DriverEntry    331
11.2.1  生成控制设备    331
11.2.2  注册协议    333
11.3  协议与网卡的绑定    335
11.3.1  协议与网卡的绑定概念    335
11.3.2  绑定回调处理的实现    335
11.3.3  协议绑定网卡的API    338
11.3.4  解决绑定竞争问题    339
11.3.5  分配接收和发送的包池与缓冲池    340
11.3.6  OID请求的发送和请求完成回调    342
11.3.7  ndisprotCreateBinding的最终实现    345
11.4  绑定的解除    351
11.4.1  解除绑定使用的API    351
11.4.2  ndisprotShutdownBinding的实现    353
11.5  在用户态操作协议驱动    356
11.5.1  协议的收包与发包    356
11.5.2  在用户态编程打开设备    357
11.5.3  用DeviceIoControl发送控制请求    358
11.5.4  用WriteFile发送数据包    360
11.5.5  用ReadFile发送数据包    362
11.6  在内核态完成功能的实现    363
11.6.1  请求的分发与实现    363
11.6.2  等待设备绑定完成与指定设备名    364
11.6.3  指派设备的完成    365
11.6.4  处理读请求    368
11.6.5  处理写请求    370
11.7  协议驱动的接收回调    374
11.7.1  和接收包有关的回调函数    374
11.7.2  ReceiveHandler的实现    376
11.7.3  TransferDataCompleteHandler的实现    380
11.7.4  ReceivePacketHandler的实现    381
11.7.5  接收数据包的入队    383
11.7.6  接收数据包的出队和读请求的完成    385
本章的示例代码    388
练习题    389
第12章  NDIS小端口驱动    390
如果厌烦了漏洞百出的以太网，还有什么可以充当我的网络接口吗？当然，一切能通信的设备，皆有替代以太网的潜质。即使您不愿意修改无数通过TCP接口编程的应用程序，我们依然可以用其他通信设备来虚拟网卡。本章介绍小端口驱动来虚拟网卡的技术。
12.1  小端口驱动的应用与概述    391
12.1.1  小端口驱动的应用    391
12.1.2  小端口驱动的实例    392
12.1.3  小端口驱动的运作与编程概述    393
12.2  小端口驱动的初始化    393
12.2.1  小端口驱动的DriverEntry    393
12.2.2  小端口驱动的适配器结构    396
12.2.3  配置信息的读取    397
12.2.4  设置小端口适配器上下文    398
12.2.5  MPInitialize的实现    399
12.2.6  MPHalt的实现    402
12.3  打开ndisprot设备    403
12.3.1  I/O目标    403
12.3.2  给IO目标发送DeviceIoControl请求    404
12.3.3  打开ndisprot接口并完成配置设备    406
12.4  使用ndisprot发送包    409
12.4.1  小端口驱动的发包接口    409
12.4.2  发送控制块（TCB）    409
12.4.3  遍历包组并填写TCB    412
12.4.4  写请求的构建与发送    415
12.5  使用ndisprot接收包    417
12.5.1  提交数据包的内核API    417
12.5.2  从接收控制块（RCB）提交包    418
12.5.3  对ndisprot读请求的完成函数    420
12.5.4  读请求的发送    422
12.5.5  用于读包的WDF工作任务    424
12.5.6  ndisedge读工作任务的生成与入列    426
12.6  其他的特征回调函数的实现    428
12.6.1  包的归还    428
12.6.2  OID查询处理的直接完成    429
12.6.3  OID设置处理    432
本章的示例代码    433
练习题    434
第13章  NDIS中间层驱动    435
当我们不满足于抓包和发包，而试图控制本机上流入和流出的所有数据包的时候，NDIS中间层驱动是最终的选择。防火墙的功能在这里得到加强：我们不再满足于看到连接、端口、对方IP地址，而是要看到每一个数据包的原始结构。本章介绍NDIS中间层驱动。
13.1  NDIS中间层驱动概述    436
13.1.1  Windows网络架构总结    436
13.1.2  NDIS中间层驱动简介    437
13.1.3  NDIS中间层驱动的应用    438
13.1.4  NDIS包描述符结构深究    439
13.2  中间层驱动的入口与绑定    442
13.2.1  中间层驱动的入口函数    442
13.2.2  动态绑定NIC设备    443
13.2.3  小端口初始化（MpInitialize）    445
13.3  中间层驱动发送数据包    447
13.3.1  发送数据包原理    447
13.3.2  包描述符“重利用”    448
13.3.3  包描述符“重申请”    451
13.3.4  发送数据包的异步完成    453
13.4  中间层驱动接收数据包    455
13.4.1  接收数据包概述    455
13.4.2  用PtReceive接收数据包    456
13.4.3  用PtReceivePacket接收    461
13.4.4  对包进行过滤    463
13.5  中间层驱动程序查询和设置    466
13.5.1  查询请求的处理    466
13.5.2  设置请求的处理    468
13.6  NDIS句柄    470
13.6.1  不可见的结构指针    470
13.6.2  常见的NDIS句柄    471
13.6.3  NDIS句柄误用问题    473
13.6.4  一种解决方案    475
13.7  生成普通控制设备    476
13.7.1  在中间层驱动中添加普通设备    476
13.7.2  使用传统方法来生成控制设备    478
本章的示例代码    483
练习题    483
附录A  如何使用本书的源码光盘    485

黑客防线2009黑客编程VC专辑(附盘)(附光盘1张)
木马后门类
VC实现端口复用木马2
巧用WM_CREATE消息隐藏DLL木马6
VC编写精小反弹穿墙木马8
编程实现木马的ActiveX启动和注入IE的启动方式13
利用C++让木马也能修改桌面背景16
木马编程DIY之系统服务17
木马编程DIY之单实例运行21
木马编程DIY之注册表管理23
木马编程DIY之线程守护27
木马编程DIY之服务启动技术29
编程实现手机远程控制电脑33
为反弹远控服务端减肥37
打造自己的VNC后门生成器40
B/S模式远程控制简单实现43
编写Downloader制造机47
自己编程抓“肉鸡”48
自己编程抓“肉鸡”——将捕获消息进行到底51
基于反向连接的木马编写思路53
3389后门自己造54
编程实现修改注册表完成程序自启动56
Windows2003下的进程隐藏58
服务级后门自己做61
利用远程线程技术制造隐身程序65
看我双兔傍地走——编程实现木马合并68
用原始套接字创建穿墙木马72
让木马藏得更深——线程注射技术新发展(上)76
让木马藏得更深——线程注射技术新发展(下)81
穿过防火墙的Shell后门83
捆绑任意可执行文件做木马85
魔兽盗号木马DIY88
经典重现之NameLess后门技术全面分析93
完整B/S后门开发实战96
VC编写获取服务端系统信息的C/S型木马104

扫描监控类
构造自己的ARP扫描和欺骗工具108
文件监控开发过程110
利用WinPcap编写驱动Sniffer114
直接访问键盘控制芯片获取键盘记录117
小波变换+线性预测+LZ77算法实现极速屏幕监控120
自己动手编写SQL注入漏洞扫描器126
用原始套接字实现网络入侵检测系统129
一个简易网络嗅探器的实现135
编写调用门键盘记录程序137
自己编写IP包监视工具141
四种方法实现VC枚举系统当前进程144
编写无驱动的Sniffer147
键盘监视器原理及反窥探技术149
如虎添翼——给嗅探器加上数据还原！154
打造自己的程序行为监视器160

线程注入类
基于EPROCESS结构中双向链表的进程检测方法166
卸载远程进程中的DLL168
进程的冻结与解冻170
植入执行文件穿越软件防火墙172
一种基于PspCidTable的进程检测方法174
进程隐藏技术解析——DLL远程线程插入主程序177
编程实现远程Shell的获取182
编程实现线程插入后门防范186
SQL注入步步高——打造自己的扫描+注入综合工具189
无进程式线程插入穿墙技术实现194
搞定远程进程注入DLL——以ShellCode之名199

系统核心类
利用HookAPI实现进程守护204
详解挂钩SSDT206
浅窥导入函数及输出导入表的内容209
Ring3下安全获取原始SSDT地址211
Ring0中HookSSDT防止进程被结束213
Ring0下恢复SSDTShadow216
让一切输入都难逃法眼——驱动级键盘过滤钩子的实现220
内核状态下拦截注册表操作防范木马224
妙不可言——挂接ExitWindowsEx227
NT操作系统下的Rootkit技术初探228
内核级编程实践之进程检测232
MessageHook攻与防234
API拦截——实现Ring3全局HOOK238
内核方法实现进程保护242
感染PE文件加载DLL249
在内核驱动中检测隐藏进程254
主动防御之注册表保护255
Ring3下终止江民KV2008259
RootKit文件隐藏技术实现262
编程打造自己的SSDT恢复工具265
基于线程的隐藏进程检测271
再谈内核及进程保护274
用开源反汇编引擎检测inlinehook277
Rootkit端口隐藏实现279
Ring0中强行结束进程283
直接调用NTFS文件驱动检测隐藏文件285
用文件系统过滤驱动实现文件隐藏289
InlinehookKeyboardClassServiceCallback实现键盘记录291
恢复Ring0下的IAT与EAThook295

网络协议类
套接字编程实现网页内容的获取301
编程实现DRDoS攻击302
邮件群发器的分析与实现304
DNS放大攻击原理、实现与防御306
再谈邮件服务器的编写307
基于SMTP/POP3协议的新型僵尸网络实现311
IRCBOT，由协议分析到编程实现315
Windows环境下实现原始UDP数据包发送319
教你实现TFTP协议322
基于Winpcap的原始数据包发送325
NAT穿透之NAT类型检测327
网络数据包捕获与发送的多重实现330
ARPSpoof&DoS攻击编程实战334

杀毒类
病毒专杀工具编写DIY339
编写自己的流氓软件专杀工具342
菜鸟也会编写杀毒软件344
浅谈蠕虫病毒的特性346
自己编写ANI蠕虫专杀工具347
仿制“熊猫烧香”，编程实现病毒特性349
手把手教你编写威金病毒清除工具350
打造专版的还原精灵密码读取工具353
检测PE文件的有效性354
枚举注册表搜索病毒痕迹的实现思路356
简单打造蠕虫病毒专杀工具358

其他类
编写自己的搜索引擎查找用户QQ群362
VC轻松打造Spy++364
OfficeSpyDIY370
盗号研究怎能缺少新浪UC372
编程PK迅雷QQ暴力广告374
也谈VC打造U盘防火墙376
利用WinInet和多线程实现实时显示下载进度条378
使用过滤驱动打造防火墙381
图标大挪移——资源更新法更新程序图标383
DES加密软件的实现385
……