.Windows资源工具箱 27
内核调试 28
Platform SDK 33
DDK（设备驱动程序开发工具） 34
Sysinternals工具 34
1.4 本章总结 34
第2章 系统结构 35
2.1 需求和设计目标 35
2.2 操作系统模型 36
2.3 总体结构 37
可移植性 40
对称多处理 41
可伸缩性 46
客户和服务器版本之间的差异 47
检查版本 49
2.4 关键的系统组件 51
环境子系统和子系统DLL 53
硬件抽象层（HAL） 67
设备驱动程序 69
系统进程 75
2.5 本章总结 84
第3章 系统机制 85
3.1 陷阱分发 85
中断分发 87
异常分发 109
系统服务分发 119
3.2 对象管理器 124
执行体对象 126
对象结构 128
3.3 同步 149
高IRQL的同步 151
低IRQL的同步 155
3.4 系统辅助线程 166
3.5 Windows全局标志 168
3.6 本地过程调用（LPC） 171
3.7 内核事件追踪 175
3.8 Wow64 178
Wow64进程地址空间布局结构 179
系统调用 179
异常分发 179
用户回调 179
文件系统重定向 180
注册表的重定向和反射 180
I/O控制请求 181
16位安装器应用程序 182
打印 182
一些限制 182
3.9 本章总结 182
第4章 管理机制 183
4.1 注册表 183
查看和修改注册表 183
注册表用法 184
注册表数据类型 185
注册表逻辑结构 186
注册表问题的诊断 192
注册表的内部机理 197
4.2 服务 211
服务应用 212
服务账户 217
服务控制管理器 223
服务启动 225
启动错误 229
接受当前引导和“最后已知的好控制集” 230
服务失败 231
服务停机 232
共享的服务进程 233
服务控制程序 236
4.3 Windows管理规范 237
WMI体系结构 237
提供者 239
公共信息模型（CIM）和可管理对象的格式语言 240
WMI名字空间 243
类关联 244
WMI实现 247
WMI安全性 248
4.4 本章总结 249
第5章 启动和停机 251
5.1 引导过程 251
x86和x64引导准备 251
x86/x64引导扇区和Ntldr 255
IA64引导过程 264
初始化内核和执行体子系统 266
Smss、Csrss和Winlogon 269
自动启动的映像文件 273
5.2 引导和启动问题的故障检查 274
最后已知的好配置 274
安全模式 274
安全模式下的驱动程序加载 275
恢复控制台（Recovery Console） 279
解决常见的引导问题 281
5.3 停机 286
5.4 本章总结 288
第6章 进程、线程和作业 289
6.1 进程的内部机理 289
数据结构 289
内核变量 297
性能计数器 297
有关的函数 298
6.2 CreateProcess的流程 300
阶段1：打开将要被执行的映像 302
阶段2：创建Windows执行体进程对象 304
阶段3：创建初始线程，以及它的栈和执行环境 308
阶段4：将新进程通知Windows子系统 309
阶段5：启动初始线程的执行 310
阶段6：在新进程环境下执行进程初始化 310
6.3 线程的内部机理 313
数据结构 313
内核变量 320
性能计数器 321
有关的函数 322
一个线程的产生 322
6.4 检查线程活动 323
6.5 线程调度 325
Windows调度的概述 326
优先级别 327
Windows调度API 330
有关的工具 331
实时优先级 333
线程状态 334
分发器数据库 338
时限 340
调度情形 345
环境切换 347
空闲（Idle）线程 348
优先级提升 348
多处理器系统 357
多处理器的线程调度算法 366
6.6 作业对象 369
6.7 本章总结 374
第7章 内存管理 375
7.1 内存管理器简介 375
内存管理器组件 376
内部同步 377
配置内存管理器 378
检查内存的使用情况 378
7.2 内存管理器提供的服务 382
大页面和小页面 382
保留的和提交的页面 384
锁住内存 385
分配粒度 385
共享内存和映射文件 386
保护内存 388
“不可执行”页面保护 390
写时复制 392
堆管理器 394
地址窗口扩展 399
7.3 系统内存池 401
配置内存池的大小 401
监视内存池的使用 404
预读列表（Look-Aside List） 408
驱动程序检验器（Driver Verifier） 409
7.4 虚拟地址空间的布局结构 413
x86用户地址空间的布局结构 415
x86系统地址空间的布局结构 417
x86会话空间 418
系统页表项（PTE，Page Table Entry） 421
64位地址空间布局结构 422
7.5 地址转译 425
x86虚拟地址转译 425
地址转译快查缓冲区 434
物理地址扩展（PAE） 435
IA-64虚拟地址转译 437
x64虚拟地址转译 438
7.6 页面错误处理 439
无效PTE 440
原型PTE 441
页面换入I/O 443
冲突的页面错误 444
页面文件 444
7.7 虚拟地址描述符 448
7.8 内存区对象 450
7.9 工作集 457
按需换页 458
7.10 逻辑预取器 458
放置策略 462
工作集管理 463
平衡集管理器和交换器 466
系统工作集 467
7.11 页面帧编号数据库 469
页面列表的动态变化 472
已修改页面写出器 475
PFN数据结构 476
低内存通知和高内存通知 479
7.12 本章总结 483
第8章 安全性 485
8.1 安全系统组件 488
8.2 保护对象 492
访问检查 493
安全描述符和访问控制 506
8.3 账户权限和特权 516
账户权限 517
特权 518
超级特权 523
8.4 安全审计 524
8.5 登录（Logon） 526
Winlogon初始化 528
用户登录步骤 529
8.6 软件限制策略 533
8.7 本章总结 535
第9章 I/O系统 537
9.1 I/O系统组件 537
I/O管理器 539
典型的I/O处理过程 540
9.2 设备驱动程序 541
设备驱动程序的类型 541
驱动程序的结构 548
驱动程序对象和设备对象 550
打开设备 555
9.3 I/O处理 561
I/O类型 561
映射文件I/O和文件缓存 564
I/O请求包 564
针对单层驱动程序的I/O请求 569
针对分层的驱动程序的I/O请求 577
I/O完成端口 585
驱动程序检验器（Driver Verifier） 589
9.4 即插即用（PnP）管理器 590
即插即用支持的级别 591
驱动程序对于即插即用的支持 592
驱动程序加载、初始化和安装 594
驱动程序安装 603
9.5 电源管理器 607
电源管理器的操作 609
驱动程序的电源操作 610
驱动程序对于设备电源的控制 613
9.6 本章总结 613
第10章 存储管理 615
10.1 有关存储的术语 615
10.2 磁盘驱动程序 616
Ntldr 616
磁盘类、端口和小端口驱动程序 617
磁盘设备对象 620
分区管理器 622
10.3 卷的管理 622
基本磁盘 624
动态磁盘 626
多分区卷的管理 632
卷名字空间 638
卷的I/O操作 646
虚拟磁盘服务 648
卷影像（shadow）拷贝服务 649
10.4 本章总结 654
第11章 缓存管理器 655
11.1 缓存管理器的关键特性 655
单个中心化的系统缓存 656
内存管理器 656
缓存一致性 656
虚拟块缓存 658
流式缓存机制 658
对可恢复文件系统的支持 658
11.2 缓存的虚拟内存管理 660
11.3 缓存的大小 662
LargeSystemCache 662
缓存的虚拟大小 663
缓存的工作集大小 665
缓存的物理大小 667
11.4 缓存的数据结构 668
系统范围的缓存数据结构 669
针对每个文件的缓存数据结构 670
11.5 文件系统接口 674
从缓存中来回拷贝数据 676
通过映射和锁定接口进行缓存 677
通过直接内存访问接口进行缓存 678
11.6 快速I/O 679
11.7 预读（Read Ahead）和滞后写（Write Behind） 682
智能预读 682
回写缓存（Write-Back Caching）和延迟写（Lazy Writing） 683
写节流（Write Throttling） 686
系统线程 687
11.8 本章总结 688
第12章 文件系统 689
12.1 Windows文件系统格式 690
CDFS 690
UDF 691
FAT12、FAT16和FAT32 691
NTFS 694
12.2 文件系统驱动程序总体结构 694
本地FSD 695
远程FSD 696
文件系统操作 700
文件系统过滤型驱动程序 705
12.3 诊断文件系统的问题 711
Filemon的基本和高级模式 711
Filemon诊断技巧 712
12.4 NTFS设计目标和特性 717
高端（High-End）文件系统的需求 717
NTFS的高级特性 719
12.5 NTFS文件系统驱动程序 729
12.6 NTFS在磁盘上的结构 732
卷（volume） 732
簇（cluster） 732
主文件表（MFT） 733
文件引用号 739
文件纪录 740
文件名 742
驻留的和非驻留的属性 744
数据压缩和稀疏文件 747
变化日志文件 752
索引 753
对象ID 754
配额跟踪 755
统一的安全性 756
重解析点 758
12.7 NTFS的恢复支持 758
文件系统设计的演变 759
日志记录 761
恢复 767
NTFS的坏簇恢复 771
12.8 加密文件系统（EFS）安全性 775
第一次加密一个文件 778
解密过程 783
加密文件的备份 784
12.9 本章总结 785
第13章 网络 787
13.1 Windows的网络总体结构 787
OSI参考模型 787
Windows网络组件 789
13.2 网络API 791
Windows套接字（Windows Sockets） 791
远过程调用 798
Web访问API 803
命名管道和邮件槽 804
NetBIOS 811
NetBIOS的操作 812
其他的网络API 813
13.3 多重定向器支持 815
多提供者转发器 816
多UNC提供者 818
13.4 名称解析 820
域名系统 820
Windows Internet名称服务 820
13.5 协议驱动程序 821
TCP/IP的扩展 824
13.6 NDIS驱动程序 828
NDIS小端口的变化形式 832
面向连接的NDIS 832
外接NDIS（Remote NDIS） 835
QOS 836
13.7 绑定 838
13.8 分层的网络服务 839
远程访问（Remote Access） 839
活动目录 840
网络负载平衡 841
文件复制服务 843
分布式文件系统 843
13.9 本章总结 844
第14章 崩溃转储分析 845
14.1 Windows为什么会崩溃 845
14.2 蓝屏 846
14.3 崩溃转储文件 849
崩溃转储的生成 852
14.4 Windows错误报告 853
14.5 在线崩溃分析 854
14.6 基本的崩溃转储分析 855
Notmyfault 855
基本的崩溃转储分析 856
详细的分析 858
14.7 使用崩溃诊断工具 860
缓冲区溢出和特殊内存池 861
代码改写和系统代码写保护 863
14.8 高级的崩溃转储分析 864
栈破坏 865
挂起的系统或无响应的系统 866
当没有崩溃转储时 869
术语表 871
术语对照表 895
索引 901

.
的Windows版本上无法正常工作。更糟的是，在内核模式下运行并且用到了这些未文档化接口的软件（比如设备驱动程序）在新的Windows发行版本中运行时可能会导致系统崩溃。
支持
我们做了各种努力来确保本书的精确性。如果你遇到了任何问题，或者有任何疑问，请参考下面列出的资源。
来自作者的支持
本书远未达到完美。毫无疑问，它包含一些不精确的地方；或者也有可能，我们忽略了一些本该讲述的话题。如果你发现了任何你认为不正确的地方，或者你相信我们应该包含一些尚未涵盖的材料，欢迎发送电子邮件到windowsinternals@sysinternals.com。本书的更新和修正将张贴在www.microsoft.com/technet/sysinternals/information.windowsinternals.mspx页面上。
来自出版商Microsoft Press的支持
Microsoft也通过Web为本书提供修正内容，地址如下：
http://www.microsoft.com/learning/support
你可以直接连接到Microsoft学习知识库（Microsoft Learning Knowledge Base），针对你学习过程中可能碰到的问题，输入一个相关的查询请求，Web地址是：http://www.microsoft.com/learning/support/search.asp。
除了直接给作者们发送反馈信息以外，如果你对本书的表述或用途有任何建议、疑问或者想法，可以通过以下任何一种方法将它们发送给Microsoft。
通信地址：
Microsoft Press
Attn: Windows Internals Editor
One Microsoft Way
Redmond, WA 98052-6399
电子邮件地址：
mspinput@microsoft.com
请注意，通过上述地址并不提供产品支持。关于Microsoft Windows的支持信息，请访问www.microsoft.com/windows。你也可以在工作日的太平洋时间上午6点到下午6点打电话给（425） 635-7011，呼叫标准支持程序，或者搜索Microsoft的在线支持站点：suppport.microssft.com/support。

.六年前开始的等待
—出版人感言—

2000年暮秋的一个傍晚，我同时结识了蒋涛和潘老师。蒋涛那时刚过而立，白衣飘飘，一身仙气。潘老师与蒋涛同岁，略显老成，斯文和气，令我一见如故。当天，依稀记得我们一起在聊蒋涛即将创办的《程序员》杂志，聊潘老师受到读者追捧的《VC++技术内幕》（第四版），聊我要做的侯捷老师的《深入浅出MFC》（第二版）。
从那一天起，我和潘老师就成为了朋友。他这个人，微笑比较多，言语向来不多。偶然，我在网上发现他写一笔漂亮的钢笔行书，还发现他在练太极。这都是我感兴趣的，问他，他的回答依然寥寥，曰不过是一点兴趣而已，并无深入研究。我趁机向他约稿，约翻译，也约写作。他总是说：会有机会的。
每年去北京的时候，都会和潘老师约着一起喝喝茶，他偶尔兴致好，也有余暇的时候，愿意随我和一帮80后的程序员们聚会，也往往都是带着他不变的微笑听小年轻们意气风发、挥斥方遒，依然话不多。但，他看人其实是独到的，一两句话，就能点到人家的穴位，这时，一双浓眉下的眼睛会显得特别犀利明亮。我一直在想他这样的表情像谁。有一天，他和我喝茶，闲聊到他原来是徐志摩和金庸的老乡——浙江海宁人，我猛然意识到他真的有点像也是浙江人的围棋天才马晓春，呵呵，结果有朋友对我的这一发现也表示赞同。
浙江人的聪明勤奋，我已多次从合作的作译者身上见识到了。这次潘老师依然让我深刻地体会到了这一点。等待与他的合作，已经等了六年。这六年间，IT专业出版潮起潮落，而潘老师却能无视这些沉浮，安然地做着他想做的事情，几乎年年都会在出版上给读者带来惊喜。他也总是鼓励着我，鼓励我耐心做好自己的份内事，不要因追求数量而伤害品质，不要为虚名所累。
2003年春，我做了母亲，潘老师正好来武汉开会，专门来看我和还未满月的女儿。博文视点那时还在筹建中，我对未来一派迷茫，他真诚的鼓励给了我很大的信心。人的一生，太需要这样的朋友了。
2004年底，策划编辑方舟选定了这本《Windows Internals,4/e》，我问他找谁翻译为好，他说：那肯定是潘老师最合适了。我就去请潘老师，几番蹉跎后，潘老师总算首肯了。我发短信给方舟道喜，方舟回复短信：那就十全十美了！
我的同事——这本书的编辑方舟、陈元玉以及市场负责人佘广均以自己耐心细致的工作赢得了潘老师由衷的称赞，我为伙伴们的工作而自豪。
六年前开始的友谊，六年后将通过彼此的合作而继续绵长。衷心盼望来自作译者和出版方的真诚合作，能带给读者美好的阅读体验。
周 筠
2007年2月于武汉






Windows NT的历史全景

我又一次发现自己真的要感谢David Solomon和Mark Russinovich了，他们提供了机会让我在他们合著的关于Windows内部机理的系列图书的最新版本中写一些话。在这一系列图书中，上一版本的出版距新版本已经有三年了，在此期间Windows已经有了两个主要的发行版本：一个是对客户系统的重大更新，另一个则是对刚刚准备就绪要发行的服务器系统的重大更新。
对于像这样一本书的作者，他们面临的两个日益显著的问题是，跟踪Microsoft Windows NT系统在实现方面的进展，以及记录下在每一个版本中哪些特性的实现发生的变化。最终，本书的作者们完成了这一杰出的工作，为全书提供了例子和解释。

（从左至右）David Solomon、David Cutler和Mark Russinovich
当我第一次碰到David Solomon时，我还在DEC（Digital Equipment Corporation）为VAX的VMS操作系统工作，当时他只有16岁。从那时起，他一直涉足于操作系统的开发和对操作系统内部机理的教学。我认识Mark Russinovich的时间要短一些，但知晓他在操作系统领域的专业特长也很有一段时间了。他曾经做出了很杰出的工作，比如可在Microsoft Windows 98上运行的NTFS文件系统，以及他的“实时”Windows内核调试器（通过该工具可以在Windows系统运行的时候探查其内部状态）。
Windows NT项目最初是从1988年10月份开始的，起初的目标是实现一个可移植的系统，能够解决OS/2兼容性、安全性、POSIX、多处理能力、集成的网络功能，以及可靠性等诸多问题。随着Windows 3.0的发行和巨大成功，这些系统目标很快也随之发生变化，变成了直接处理Windows的兼容性，而把OS/2兼容性移到一个子系统中。
我们最初认为，可以在两年多时间内完成第一个Windows NT系统。实际上，第一个发行版本花了四年半时间，到1993年夏天才完成，这一发行版本支持Intel i386、Intel i486和MIPS R4000处理器。六周以后，我们也引入了对于Digital Alpha处理器的支持。
Windows NT的第一个发行版本比预期的要大、要慢，所以，下一个重要的阶段是一个称为Daytona的项目（用Florida的一条高速公路来命名）。这一发行版本的主要目标是减小系统的尺寸，提高系统的速度，当然，也要使它更加可靠。1994年秋天我们发布了Windows NT 3.5，过了6个月，又发布了Windows NT 3.51，此更新版本包含了对于IBM PowerPC处理器的支持。
Windows NT下一个版本的目标是，更新用户界面以便与Windows 95兼容，以及将Microsoft已经开发多年的各种Cairo技术融合进来。这一系统的开发花了两年多时间，最终在1996年夏天作为Windows NT 4.0面市。
NT的下一个版本是Windows 2000，这是最后一个客户和服务器系统同时发布的系统。这一版本建立在与以前版本相同的Windows NT技术基础之上，同时也引入了一些重要的新特性，比如活动目录。花了三年半时间来开发Windows 2000，对当时的Windows NT技术作了全面的测试和调节。开发Windows 2000是过去11年来跨越4种体系结构的系统开发之巅峰。
在Windows 2000开发结束时，我们又启动了一个宏伟计划，要在新的客户和服务器系统中融入新的、增强的客户特性和改进的服务器能力。在这一计划实施过程中，有一点越来越清楚，即服务器特性的实现将会导致客户特性实现的滞后，因此，客户和服务器系统的版本被分开了。在2001年8月，Windows XP Professional和Windows XP Home Edition发布了，一年多以后，在2003年3月，Microsoft Windows Server 2003也发布了。除了对Intel x86体系结构的支持以外，这些系统还包含了对于Intel IA-64的支持，这标志着Windows NT第一次进入了64位处理的领域。
本书是有关Windows XP和Windows Server 2003的内部结构和工作机理的一部权威之作。而且，它也提供了Windows将来转移到64位计算上的大略介绍，包括AMD在2003年引入的x64体系结构（AMD64）和Intel于2004年2月份宣称的64位支持（EM64T）。完全支持x64的客户和服务器版本计划在2005年上半年发行，本书包含了有关x64系统实现细节的诸多精辟观点。
当x86体系结构开始显现出旧时代征兆之时，x64体系结构即是Windows NT的新时代的开始。这一体系结构提供了32位x86兼容性，以保护过去的软件投资，同时它也提供了64位寻址能力以便满足新应用程序更大的空间需求。这既保护了32位软件的投资，同时也为Windows NT进入下一个10年或走得更远而提供了必不可少的支撑。
尽管在过去几年中，Windows NT系统经历了几次名称上的变化，但是，它仍然完全建立在最初的Windows NT代码基（code base）的基础之上。随着时间的推移和各种发明创造的诞生，许多内部特性的实现发生了重大的变化。本书作者已经做了令人赞不绝口的工作来诠释Windows NT代码基的细节，及其在不同版本之间和不同平台之间的实现上的差异，同时他们也开发了一些例子和工具来帮助读者理解Windows NT内部是如何工作的。每一个认真的操作系统开发人员都应该在自己的案头有这本书。


David N. Cutler
Senior Distinguished Engineer
Microsoft Corporation