Windows Internals, Part 1
System architecture, processes, threads, memory management, and more
La référence Microsoft Press sur les internals Windows : comment processus, threads, mémoire et services système sont réellement implémentés dans le kernel Windows moderne. Volume orienté user mode.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Publié
- 2017
- Éditeur
- Microsoft Press
- Pages
- 800
- Langue
- English
À lire si
Analystes malware Windows, reverse engineers kernel, développeurs niveau OS et quiconque dont le travail sécurité exige de comprendre la plateforme en profondeur. Le nom de Russinovich est sur la couverture pour une raison ; c'est la référence canonique de ce que Windows fait vraiment.
À éviter si
Débutants ou lecteurs sans bagage programmation. Le livre est dense, long et suppose au minimum la fluidité avec l'API Win32. À lire après Practical Reverse Engineering, pas avant.
Points clés
- La gestion de processus, threads et mémoire sur Windows a des formes spécifiques qui ne se transfèrent pas des modèles mentaux Linux ; les chapitres sur chacun sont l'autorité canonique.
- Object Manager et la table de handles kernel sont les deux concepts que la plupart des analystes malware regrettent de ne pas avoir compris plus tôt ; le livre est où les apprendre.
- Les frontières de sécurité user-mode (token, ACL, niveaux d'intégrité, AppContainer) sont la couche où opèrent la plupart des exploits Windows modernes ; le livre cartographie la surface.
Notes
À coupler avec Practical Reverse Engineering (Dang/Gazet/Bachaalany) et les outils Sysinternals (Process Explorer, Process Monitor, Autoruns) pour la vue praticien. Le Volume 2 couvre I/O, systèmes de fichiers et sujets kernel avancés. Le blog de Russinovich et la chaîne YouTube Microsoft Sysinternals sont les suites naturelles. Le livre date de 2017 mais les internals Windows changent lentement à la couche documentée ici ; la majeure partie du matériel est encore actuelle.
Que lire avant
Que lire avant Windows Internals, Part 1 →Avancé · 2014
Android Security Internals
Nikolay Elenkov sur l'implémentation réelle du modèle de sécurité Android : internals du package manager, permissions, keystore, intégration SELinux, verified boot.
Avancé · 2014
Practical Reverse Engineering
Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.
Avancé · 2019
Rootkits and Bootkits
Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.
Que lire ensuite
Que lire après Windows Internals, Part 1 →Avancé · 2014
Android Security Internals
Nikolay Elenkov sur l'implémentation réelle du modèle de sécurité Android : internals du package manager, permissions, keystore, intégration SELinux, verified boot.
Avancé · 2014
Practical Reverse Engineering
Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.
Avancé · 2019
Rootkits and Bootkits
Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.
Explorer des livres similaires
Alternatives à Windows Internals, Part 1 →Avancé · 2019
Rootkits and Bootkits
Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.
Avancé · 2014
Android Security Internals
Nikolay Elenkov sur l'implémentation réelle du modèle de sécurité Android : internals du package manager, permissions, keystore, intégration SELinux, verified boot.
Avancé · 2014
Practical Reverse Engineering
Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.