Windows od środka. Wnętrze nowoczesnego systemu, wirtualizacja, systemy plików, rozruch, bezpieczeństwo i dużo więcej - ebook

Windows 3.1 rozpoczął rewolucję w świecie komputerów; od tej pory Microsoft wydał wiele generacji "okienek". Dziś Windows jest dojrzałym, bezpiecznym, niezawodnym i skalowalnym systemem. Aby w pełni wykorzystać ten potencjał, trzeba dobrze zrozumieć, jak funkcjonują podstawowe wewnętrzne komponenty systemu, jakie są zasady rządzące ich wydajnością, a także czym się charakteryzują funkcje bezpieczeństwa nowoczesnych systemów Windows.

W drugiej części tego zaktualizowanego przewodnika dla zaawansowanych informatyków znalazł się między innymi opis mechanizmu wywołania ALPC i procedury synchronizacji sterowników urządzeń i aplikacji. Omówiono zasady wirtualizacji, a także takie elementy jak rejestr, interfejs WMI, usługi ETW i DTrace. Pokazano najważniejsze komponenty pamięci masowej i systemy plików, w tym NTFS i ReFS. Zaprezentowano też operacje zachodzące podczas rozruchu i zamykania systemu. Uwzględniono aktualizacje 21H1/2104 systemu Windows 10, jak również systemów Windows Server 2022, 2019 i 2016. Dodatkowo ujęto tu obszerne wprowadzenie do platformy Hyper-V. Książka zawiera ponadto praktyczne eksperymenty, dzięki którym przy użyciu najnowszych narzędzi diagnostycznych można łatwiej zrozumieć wewnętrzne szczegóły działania systemu Windows.

Dzięki drugiej części książki możesz:

• zrozumieć wirtualizację systemu i działanie opartych na niej zabezpieczeń
• poznać mechanizmy zarządzania kluczami, rejestrem, usługami Windows
• dowiedzieć się, jak menedżer bufora współdziała ze sterownikami systemu plików
• poznać operacje wykonywane podczas rozruchu systemu Windows
• przeanalizować bezpieczny rozruch oparty na interfejsie UEFI

...a więc uważasz, że dobrze znasz Windowsa?

O autorach

Przedmowa

Wprowadzenie

Rozdział 8. Mechanizmy systemowe

• Model wykonawczy procesora
  • Segmentacja
  • Segment stanu zadania
• Sprzętowe błędy w bocznym kanale
  • Wykonywanie instrukcji poza kolejnością
  • Predyktor skoku
  • Pamięci podręczne procesora
  • Ataki przeprowadzane bocznym kanałem
• Zabezpieczenia w systemie Windows przed atakami przeprowadzanymi bocznym kanałem
  • Cieniowanie KVA
  • Sprzętowa kontrola skoków pośrednich (IBRS, IBPB, STIBP, SSBD)
  • Sekwencja Retpoline i optymalizacja importu
  • Parowanie STIBP
• Zlecanie pułapek
  • Zlecanie przerwań
  • Przerwania sterowane liniami i komunikatami
  • Obsługa czasomierza
  • Systemowe wątki robocze
  • Zlecanie wyjątków
  • Obsługa wywołań systemowych
• Podsystem WoW64 (Windows-on-Windows)
  • Rdzeń podsystemu WoW64
  • Przekierowanie systemu plików
  • Przekierowanie rejestru
  • Symulacja procesora x86 na platformie AMD64
  • Procesory ARM
  • Modele pamięci
  • Symulacja procesora ARM32 na procesorze ARM64
  • Symulacja procesora x86 na procesorze ARM64
• Menedżer obiektów
  • Obiekty wykonawcze
  • Struktura obiektu
• Synchronizacja
  • Synchronizacja na wysokim poziomie IRQL
  • Synchronizacja na niskim poziomie IRQL
• Zaawansowane wywołanie procedury lokalnej
  • Model połączeń
  • Model komunikatów
  • Model asynchroniczny
  • Widoki, regiony i sekcje
  • Atrybuty
  • Krople, uchwyty i zasoby
  • Przekazywanie uchwytów
  • Bezpieczeństwo
  • Wydajność
  • Zarządzanie energią
  • Atrybut bezpośredniego zdarzenia
  • Diagnozowanie i śledzenie komunikacji
• Funkcja powiadamiania w systemie Windows
  • Funkcjonalności WNF
  • Zastosowania WNF
  • Nazwy stanów WNF i ich przechowywanie
  • Agregacja zdarzeń WNF
• Diagnostyka w trybie użytkownika
  • Obsługa jądra
  • Obsługa natywnych aplikacji
  • Obsługa podsystemu Windows
• Aplikacje pakietowe
  • Aplikacje UWP
  • Aplikacje Centennial
  • Menedżer HAM
  • Repozytorium stanów
  • Minirepozytorium zależności
  • Zadania wykonywane w tle i infrastruktura brokerska
  • Konfigurowanie i uruchamianie aplikacji pakietowych
  • Aktywacja pakietu
  • Rejestracja pakietów
• Podsumowanie

Rozdział 9 .Technologie wirtualizacji

• Hipernadzorca systemu Windows
  • Partycje, procesy i wątki
  • Uruchamianie hipernadzorcy
  • Menedżer pamięci hipernadzorcy
  • Planiści platformy Hyper-V
  • Hiperwywołania i TLFS hipernadzorcy
  • Przechwyty
  • Syntetyczny kontroler przerwań (SynIC)
  • API platformy hipernadzorcy systemu Windows i partycje EXO
  • Wirtualizacja zagnieżdżona
  • Hipernadzorca Windows w procesorze ARM64
• Stos wirtualizacji
  • Usługa menedżera maszyn wirtualnych i procesy robocze
  • Sterownik VID i menedżer pamięci stosu wirtualizacji
  • Narodziny maszyny wirtualnej (VM)
  • VMBus
  • Obsługa sprzętu wirtualnego
  • Maszyny wirtualne wspierane przez VA
• Bezpieczeństwo oparte na wirtualizacji (VBS)
  • Wirtualne poziomy zaufania (VTL) i wirtualny tryb bezpieczny (VSM)
  • Usługi świadczone przez VSM i wymagania
• Bezpieczne jądro
  • Wirtualne przerwania
  • Bezpieczne przechwyty
  • Wywołania systemowe wirtualnego trybu bezpiecznego VSM
  • Bezpieczne wątki i planowanie
  • Integralność kodu wymuszona przez hipernadzorcę
  • Wirtualizacja uruchomieniowa UEFI
  • Uruchamianie VSM
  • Menedżer pamięci bezpiecznego jądra
  • Łatanie "na gorąco"
• Tryb izolowanego użytkownika
  • Tworzenie trustletów
  • Bezpieczne urządzenia
  • Enklawy oparte na VBS
  • Atestacja uruchomieniowa strażnika systemu
• Podsumowanie

Rozdział 10. Zarządzanie, diagnostyka i śledzenie

• Rejestr
  • Przeglądanie rejestru i zmiana jego ustawień
  • Używanie rejestru
  • Typy danych rejestru
  • Struktura logiczna rejestru
  • Gałęzie różnych aplikacji w rejestrze
  • Rejestr transakcyjny TxR (ang. Transactional Registry)
  • Monitorowanie aktywności rejestru
  • Wewnętrzne mechanizmy monitora procesów
  • Wewnętrzne mechanizmy rejestru
  • Reorganizacja gałęzi rejestru
  • Obszar nazw rejestru oraz działanie rejestru
  • Stabilne przechowywanie
  • Filtrowanie rejestru
  • Wirtualizacja rejestru
  • Optymalizacje rejestru
• Usługi Windows
  • Aplikacje działające jako usługi
  • Konta usług
  • Menedżer kontrolny usługi (SCM)
  • Programy kontrolne usług
  • Uruchamianie usług typu autostart
  • Usługi typu autostart uruchamiane z opóźnieniem
  • Usługi uruchamiane przez wyzwalacze
  • Błędy uruchamiania
  • Akceptowanie rozruchowej i ostatniej znanej dobrej konfiguracji
  • Usterki usług
  • Wyłączanie usług
  • Współdzielone procesy usług
  • Znaczniki usług
  • Usługi użytkownika
  • Usługi pakietowe
  • Usługi chronione
• Planowanie zadań i menedżer UBPM
  • Harmonogram zadań
  • Zunifikowany menedżer procesów działających w tle (UBPM)
  • Interfejsy COM Harmonogramu zadań
• Instrumentacja zarządzania Windows (WMI)
  • Architektura Instrumentacji zarządzania systemem Windows WMI
  • Dostawcy WMI
  • Model CIM i język MOF
  • Asocjacja klas
  • Implementacja usługi WMI
  • Zabezpieczenia WMI
• Śledzenie zdarzeń w systemie Windows (ETW)
  • Inicjalizacja usługi ETW
  • Sesje usługi ETW
  • Dostawcy usługi ETW
  • Dostarczanie zdarzeń
  • Wątek rejestratora usługi ETW
  • Konsumowanie zdarzeń
  • Rejestratory systemowe
  • Zabezpieczenia usługi ETW
• Śledzenie dynamiczne (DTrace)
  • Architektura wewnętrzna
  • Biblioteka typów platformy DTrace
• Raportowanie błędów w systemie Windows (WER)
  • Awarie aplikacji użytkownika
  • Awarie w trybie jądra (awarie systemu)
  • Wykrywanie zawieszania się procesów
• Flagi globalne
• Biblioteki shim jądra
  • Inicjalizacja silnika bibliotek shim
  • Baza danych bibliotek shim
  • Biblioteki shim sterowników
  • Biblioteki shim urządzeń
• Podsumowanie

Rozdział 11. Buforowanie i systemy plików

• Terminologia
• Podstawowe funkcje menedżera bufora
  • Scentralizowany bufor
  • Zarządzanie pamięcią
  • Spójny bufor
  • Buforowanie bloków wirtualnych
  • Buforowanie strumieni
  • Obsługa odtwarzalnych systemów plików
  • Rozszerzone zestawy robocze NTFS MFT
  • Obsługa partycji pamięci
• Zarządzanie wirtualną pamięcią bufora
• Wielkość bufora
  • Wirtualny rozmiar bufora
  • Wielkość zestawu roboczego
  • Fizyczny rozmiar bufora
• Struktury bufora
  • Ogólnosystemowe struktury bufora
  • Indywidualne plikowe struktury danych
• Interfejsy systemu plików
  • Kopiowanie danych z i do bufora
  • Buforowanie za pomocą funkcji mapujących i przypinających
  • Buforowanie za pomocą funkcji bezpośredniego dostępu do pamięci
• Szybkie operacje wejścia/wyjścia
• Odczytywanie danych z wyprzedzeniem i zapisywanie z opóźnieniem
  • Inteligentny odczyt z wyprzedzeniem
  • Usprawnienia odczytu z wyprzedzeniem
  • Buforowanie zapisu zwrotnego i zapis z opóźnieniem
  • Wyłączenie zapisu z opóźnieniem
  • Wymuszenie zapisu bufora na dysku
  • Zapis zmapowanych plików
  • Dławienie zapisów
  • Wątki systemowe
  • Zapis agresywny i zapis o niskim priorytecie
  • Pamięć dynamiczna
  • Rejestrowanie operacji wejścia/wyjścia menedżera bufora
• Systemy plików
  • Systemy plików w systemie Windows
  • CDFS
  • UDF
  • FAT12, FAT16 i FAT32
  • exFAT
  • NTFS
  • ReFS
  • Architektura sterownika systemu plików
  • Lokalne sterowniki systemu plików
  • Zewnętrzne sterowniki systemu plików
  • Operacje w systemie plików
  • Jawne operacje wejścia/wyjścia na plikach
  • Moduł menedżera pamięci zapisujący zmodyfikowane i zmapowane strony
  • Moduł menedżera bufora zapisujący z opóźnieniem
  • Moduł menedżera bufora odczytujący z wyprzedzeniem
  • Moduł menedżera pamięci obsługujący błędy stron
  • Sterowniki filtrów systemu plików i minifiltry
  • Filtrowanie nazwanych potoków i slotów pocztowych
  • Kontrola plików ponownej analizy
  • Process Monitor
• System NTFS
  • Ogólne wymagania
  • Odtwarzalność
  • Bezpieczeństwo
  • Nadmiarowość danych i odporność na błędy
  • Zaawansowane funkcjonalności
  • Wiele strumieni danych
  • Nazwy w formacie Unicode
  • Uniwersalne indeksowanie
  • Dynamiczne mapowanie uszkodzonych klastrów
  • Twarde dowiązania
  • Symboliczne (miękkie) dowiązania i złącza
  • Kompresja i pliki rozrzedzone
  • Rejestrowanie zmian
  • Indywidualne przydziały użytkowników
  • Śledzenie dowiązań
  • Szyfrowanie
  • Obsługa podsystemu POSIX
  • Defragmentacja
  • Dynamiczne partycjonowanie
  • Obsługa woluminów warstwowych
• Sterownik systemu plików NTFS
• Struktura NTFS na dysku
  • Woluminy
  • Klastry
  • Tablica MFT
  • Numery rekordów plików
  • Rekordy plików
  • Nazwy plików
  • Tunelowanie
  • Atrybuty rezydentne i nierezydentne
  • Kompresja i pliki rozrzedzone
  • Kompresja rozrzedzonych danych
  • Kompresja nierozrzedzonych danych
  • Pliki rozrzedzone
  • Plik dziennika zmian
  • Indeksowanie
  • Identyfikatory obiektów
  • Śledzenie przydziałów
  • Skonsolidowane zabezpieczenia
  • Punkty ponownej analizy
  • Rezerwy magazynu i rezerwacje
  • Obsługa transakcji
  • Izolacja
  • Funkcje transakcyjne
  • Implementacja dyskowa
  • Implementacja dziennika
• Odzyskiwanie plików w systemie NTFS
  • Projekt
  • Rejestrowanie metadanych
  • Usługa LFS
  • Rodzaje rekordów dziennika
  • Odzyskiwanie
  • Przebieg analizy
  • Przebieg ponowienia transakcji
  • Przebieg wycofania transakcji
  • Odzyskiwanie uszkodzonych klastrów
  • Samonaprawa
  • Sprawdzanie podłączonego dysku i szybka naprawa
• Szyfrowany system plików
  • Pierwsze szyfrowanie pliku
  • Proces deszyfrowania
  • Tworzenie kopii zapasowych zaszyfrowanych plików
  • Kopiowanie zaszyfrowanych plików
  • Odciążenie szyfrowania BitLocker
  • Szyfrowanie plików online
• Dyski DAX
  • Model sterownika DAX
  • Woluminy DAX
  • Buforowane i niebuforowane operacje wejścia/wyjścia na woluminach DAX
  • Mapowanie wykonywalnych obrazów
  • Woluminy blokowe
  • Sterowniki filtrów systemu plików i woluminy DAX
  • Operacje buforowane i niebuforowane
  • Obsługa dużych i olbrzymich stron
  • Obsługa wirtualnych dysków PM i przestrzeni dyskowych
• System ReFS
  • Architektura silnika Minstore
  • Fizyczny układ drzewa B+
  • Alokatory
  • Tablica stron
  • Operacje wejścia/wyjścia silnika Minstore
  • Architektura systemu
  • Dyskowe struktury danych
  • Identyfikatory obiektów
  • Bezpieczeństwo i dziennik zmian
• Zaawansowane funkcjonalności systemu ReFS
  • Klonowanie bloków pliku (obsługa migawek)
  • Zapis w locie
  • Odzyskiwanie danych
  • Wykrywanie wycieków klastrów
  • Woluminy SMR
  • Obsługa woluminów warstwowych i SMR
  • Scalanie kontenerów
  • Pliki skompresowane i porzucone
• Storage Spaces
  • Wewnętrzna architektura
  • Usługi Storage Spaces
• Podsumowanie

Rozdział 12. Uruchamianie i zamykanie systemu

• Proces rozruchu
  • Rozruch UEFI
  • Proces rozruchu BIOS
  • Bezpieczny rozruch
  • Menedżer rozruchu systemu Windows
  • Menu rozruchowe
  • Uruchomienie programu rozruchowego
  • Mierzony rozruch
  • Zaufane uruchamianie systemu
  • Program ładujący system Windows
  • Rozruch systemu za pomocą urządzenia iSCSI
  • Moduł ładujący hipernadzorcę
  • Zasada przejścia w tryb VSM
  • Bezpieczne uruchamianie
  • Inicjalizacja jądra i podsystemów wykonawczych
  • Faza nr 1 inicjalizacji jądra
  • Procesy smss.exe, csrss.exe i wininit.exe
  • ReadyBoot
  • Obrazy uruchamiane automatycznie
• Zamknięcie systemu
• Hibernacja i szybkie uruchamianie
  • Środowisko WinRE
  • Tryb awaryjny
  • Ładowanie sterowników w trybie awaryjnym
  • Programy użytkownika uwzględniające tryb awaryjny
  • Plik stanu rozruchu
• Podsumowanie

Skorowidz