Windows Internals, Part 1
System architecture, processes, threads, memory management, and more
La référence Microsoft Press sur les internals Windows : comment processus, threads, mémoire et services système sont réellement implémentés dans le kernel Windows moderne. Volume orienté user mode.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Publié
- 2017
- Éditeur
- Microsoft Press
- Pages
- 800
- Langue
- English
À lire si
Analystes malware Windows, reverse engineers kernel, développeurs niveau OS et quiconque dont le travail sécurité exige de comprendre la plateforme en profondeur. Le nom de Russinovich est sur la couverture pour une raison ; c'est la référence canonique de ce que Windows fait vraiment.
À éviter si
Débutants ou lecteurs sans bagage programmation. Le livre est dense, long et suppose au minimum la fluidité avec l'API Win32. À lire après Practical Reverse Engineering, pas avant.
Points clés
- La gestion de processus, threads et mémoire sur Windows a des formes spécifiques qui ne se transfèrent pas des modèles mentaux Linux ; les chapitres sur chacun sont l'autorité canonique.
- Object Manager et la table de handles kernel sont les deux concepts que la plupart des analystes malware regrettent de ne pas avoir compris plus tôt ; le livre est où les apprendre.
- Les frontières de sécurité user-mode (token, ACL, niveaux d'intégrité, AppContainer) sont la couche où opèrent la plupart des exploits Windows modernes ; le livre cartographie la surface.
Notes
À coupler avec Practical Reverse Engineering (Dang/Gazet/Bachaalany) et les outils Sysinternals (Process Explorer, Process Monitor, Autoruns) pour la vue praticien. Le Volume 2 couvre I/O, systèmes de fichiers et sujets kernel avancés. Le blog de Russinovich et la chaîne YouTube Microsoft Sysinternals sont les suites naturelles. Le livre date de 2017 mais les internals Windows changent lentement à la couche documentée ici ; la majeure partie du matériel est encore actuelle.
Que lire avant
Que lire avant Windows Internals, Part 1 →Avancé · 2024
Windows Security Internals
Forshaw démonte le modèle de sécurité Windows, du SRM et des jetons d'accès jusqu'à Kerberos, avec du PowerShell exécutable directement sur votre propre machine. La source unique la plus fiable sur la façon dont Windows décide réellement qui peut faire quoi.
Avancé · 2014
Android Security Internals
Nikolay Elenkov sur l'implémentation réelle du modèle de sécurité Android : internals du package manager, permissions, keystore, intégration SELinux, verified boot.
Avancé · 2014
Practical Reverse Engineering
Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.
Que lire ensuite
Que lire après Windows Internals, Part 1 →Avancé · 2024
Windows Security Internals
Forshaw démonte le modèle de sécurité Windows, du SRM et des jetons d'accès jusqu'à Kerberos, avec du PowerShell exécutable directement sur votre propre machine. La source unique la plus fiable sur la façon dont Windows décide réellement qui peut faire quoi.
Avancé · 2014
Android Security Internals
Nikolay Elenkov sur l'implémentation réelle du modèle de sécurité Android : internals du package manager, permissions, keystore, intégration SELinux, verified boot.
Avancé · 2014
Practical Reverse Engineering
Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.
Explorer des livres similaires
Alternatives à Windows Internals, Part 1 →Avancé · 2024
Windows Security Internals
Forshaw démonte le modèle de sécurité Windows, du SRM et des jetons d'accès jusqu'à Kerberos, avec du PowerShell exécutable directement sur votre propre machine. La source unique la plus fiable sur la façon dont Windows décide réellement qui peut faire quoi.
Avancé · 2019
Rootkits and Bootkits
Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.
Avancé · 2014
Android Security Internals
Nikolay Elenkov sur l'implémentation réelle du modèle de sécurité Android : internals du package manager, permissions, keystore, intégration SELinux, verified boot.