深入解析Windows操作系统（卷2） （英文版·第7版）

微软内部团队撰写Window操作系统操作指南新版下卷，本书内容不仅涵盖2021年5月更新的Windows 10（21H1/2104）和Windows Server（2022、2019和2016版）的新内容，还新增了有关Hyper-V的内容。无论你是一名开发人员还是IT专业人士，都可以学到关于Windows如何运作的关键的内部观点。本书主要从“内部原理”揭示了Windows核心组件的运行方式，通过阅读本书和实践，读者可以更好的理解Windows的工作原理机及其背后的原因。

本书将帮助读者：
● 底层硬件架构，包括陷阱处理、分段和旁道漏洞；
● 虚拟化以及如何通过基于虚拟化的安全防范操作系统漏洞；
● 关键管理和配置机制，包括注册表、Windows服务、WMI以及任务计划；
● 诊断服务，如Windows事件追踪和动态追踪；
● 缓存管理器和文件系统驱动程序如何通过交互为文件、目录和磁盘等设备提供可靠的支持。
●启动/关机，以及引导过程所涉及的操作系统组件；
●分析基于UEFI的安全引导、标准引导以及安全启动。

本书主要介绍 Windows 核心组件行为方式的“内部原理”，包括系统机制，虚拟化技术，管理、诊断和追踪，缓存和文件系统，以及启动和关机等内容，旨在帮助有经验的开发者构建强大且易扩展的软件，帮助系统管理员调试系统和处理复杂的性能问题，以及帮助安全研究人员进一步加固系统。
本书不仅涵盖截至 2021 年 5 月更新的 Windows 10（21H1/2104）和 Windows Server（2022、2019 与 2016 版）的近期新内容，还新增了有关 Hyper-V 的内容，并重写了有关引导过程、全新存储技术以及 Windows 系统和管理机制的相关章节。
本书适合程序员、架构师、软件质量和性能专家、管理员、安全从业者以及支持专家、Windows 不错用户阅读。

安德里亚·阿列维（Andrea Allievi）微软内核安全核心团队的不错核心操作系统工程师，曾在微软威胁情报中心担任安全研究工程师。他还是一名逆向工程师，精通操作系统内部原理。

亚历克斯·伊奥尼斯库（Alex Ionescu） CrowdStrike 公司副总裁，也是该公司位首席架构师。他还是底层系统软件、内核开发、安全培训以及逆向工程领域的专家。

马克·E. 鲁辛诺维奇（Mark E. Russinovich）微软公司 Azure 团队的首席技术官和技术研究员。他是操作系统和安全领域的专家。

大卫· A. 所罗门（David A. Solomon）20 多年来 , 他一直不遗余力地为众多开发者和IT专业人士讲授有关Windows内核接口的课程，并于 1993 年和 2005 年荣获微软最有价值专家（MVP）奖项。

CHAPTER 8 System mechanisms / 第 8 章 系统机制............................................1
8.1  Processor execution model / 处理器执行模型 ................................................  2
8.1.1  Segmentation / 分段 .............................................................................  2
8.1.2  Task state segments / 任务状态段........................................................  6
8.2  Hardware side-channel vulnerabilities / 硬件旁道漏洞 ..................................  9
8.2.1  Out-of-order execution / 乱序执行.....................................................  10
8.2.2  The CPU branch predictor / CPU 分支预测 ......................................  11
8.2.3  The CPU cache(s) / CPU 缓存 ...........................................................  12
8.2.4  Side-channel attacks / 旁道攻击.........................................................  13
8.3  Side-channel mitigations in Windows / Windows 中的旁道缓解措施.........  18
8.3.1  KVA Shadow / KVA Shadow..............................................................  18
8.3.2  Hardware indirect branch controls (IBRS, IBPB, STIBP, SSBD)
/  硬件间接分支控制（IBRS、IBPB、STIBP 和 SSBD）...............  21
8.3.3  Retpoline and import optimization / Retpoline 和导入优化...........  23
8.3.4  STIBP pairing / STIBP 配对...............................................................  26
8.4  Trap dispatching / 陷阱调度 ..........................................................................  30
8.4.1  Interrupt dispatching / 中断调度........................................................  32
8.4.2  Line-based versus message signaled-based interrupts
/  基于 Line 的中断和基于消息信号的中断......................................  50
8.4.3  Timer processing / 计时器处理..........................................................  66
8.4.4  System worker threads / 系统工作线程.............................................  81
8.4.5  Exception dispatching / 异常调度......................................................  85
8.4.6  System service handling / 系统服务处理 ..........................................  91
8.5  WoW64 (Windows-on-Windows) / WoW64 ................................................  104
8.5.1  The WoW64 core / WoW64 内核.....................................................  106
8.5.2  File system redirection / 文件系统重定向.......................................  109
8.5.3  Registry redirection / 注册表重定向................................................  110
8.5.4  x86 simulation on AMD64 platforms
/  AMD64 平台上的 x86 模拟 ...........................................................  111
8.5.5  ARM / ARM .....................................................................................  113
8.5.6  Memory models / 内存模型.............................................................  114
8.5.7  ARM32 simulation on ARM64 platforms
/  ARM64 平台上的 ARM32 模拟 ....................................................  115
8.5.8  x86 simulation on ARM64 platforms
/  ARM64 平台上的 x86 模拟............................................................  115
8.6  Object Manager / 对象管理器 .....................................................................  125
目录  ii
8.6.1  Executive objects / 执行体对象.........................................................  127
8.6.2  Object structure / 对象结构................................................................  131
8.7  Synchronization / 同步...................................................................................  170
8.7.1  High-IRQL synchronization / 高 IRQL 同步.....................................  172
8.7.2  Low-IRQL synchronization / 低 IRQL 同步......................................  177
8.8  Advanced local procedure call / 不错本地过程调用........................................  209
8.8.1  Connection model / 连接模型............................................................  210
8.8.2  Message model / 消息模型 ................................................................  212
8.8.3  Asynchronous operation / 异步操作..................................................  214
8.8.4  Views, regions, and sections / 视图、区和节....................................  215
8.8.5  Attributes / 属性 .................................................................................  216
8.8.6  Blobs, handles, and resources / Blob、句柄和资源..........................  217
8.8.7  Handle passing / 处理传递.................................................................  218
8.8.8  Security / 安全性................................................................................  219
8.8.9  Performance / 性能.............................................................................  220
8.8.10  Power management / 电源管理........................................................  221
8.8.11  ALPC direct event attribute / ALPC 直接事件属性........................  222
8.8.12  Debugging and tracing / 调试和跟踪...............................................  222
8.9  Windows Notification Facility / WNF 组件 .................................................  224
8.9.1  WNF features / WNF 功能.................................................................  225
8.9.2  WNF users / WNF 用户 .....................................................................  226
8.9.3  WNF state names and storage / WNF 状态名称和存储....................  233
8.9.4  WNF event aggregation / WNF 事件聚合.........................................  237
8.10  User-mode debugging / 用户模式调试........................................................  239
8.10.1  Kernel support / 内核支持.............................................................  239
8.10.2  Native support / 原生支持 .............................................................  240
8.10.3  Windows subsystem support / Windows 子系统支持...................  242
8.11  Packaged applications / 打包的应用程序....................................................  243
8.11.1  UWP applications / UWP 应用程序..............................................  245
8.11.2  Centennial applications / Centennial 应用程序.............................  246
8.11.3  The Host Activity Manager / 主机活动管理器.............................  249
8.11.4  The State Repository / 状态存储库 ...............................................  251
8.11.5  The Dependency Mini Repository / 依赖项小型存储库 ..............  255
8.11.6  Background tasks and the Broker Infrastructure
/  后台任务和中转基础架构...........................................................  256
8.11.7  Packaged applications setup and startup
/  打包应用程序的设置和启动.......................................................  258
8.11.8  Package activation / 包激活...........................................................  259
8.11.9  Package registration / 包注册 ........................................................  265
8.12  Conclusion / 小结.........................................................................................  266
CHAPTER  9 Virtualization technologies / 第 9 章 虚拟化技术..........................267
9.1  The Windows hypervisor / Windows 虚拟机监控程序.................................  267