天书夜读－从汇编语言到Windows内核编程 扫描版,清晰版,带书签

天书夜读－从汇编语言到Windows内核编程 扫描版,清晰版,带书签

天书夜读01共2部:从汇编语言到Windows内核编程(绝对完整版)

天书夜读 汇编 Windows内核编程(绝对完整版) 这个版本没有上传正确，因为自己没法删除，请大家不要下载了。

天书夜读:从汇编语言到Windows内核编程（完整版 二）

总共20多兆，太大了，权限不够，一次上传不了。 第一个包：http://download.csdn.net/source/2517241 入手篇 熟悉汇编 　　本书的第一部分，将帮助读者消除对汇编的恐惧，熟悉汇编。本部分包括第1~3章。稍显枯燥的是，它们和Windows内核无关，是纯C语言与汇编语言的关系的章节。如果读者已经精通汇编语言，并能顺利阅读汇编代码，请直接跳过本部分。 　　第1章 汇编指令与C语言 2 　　1.1 上机建立第一个工程 4 　　1.1.1 用Visual Studio创建工程 4 　　1.1.2 用Visual Studio查看汇编代码 5 　　1.2 简要复习常用的汇编指令 6 　　1.2.1 堆栈相关指令 6 　　1.2.2 数据传送指令 7 　　1.2.3 跳转与比较指令 8 　　1.3 C函数的参数传递过程 9 　　第2章 C语言的流程和处理 14 　　2.1 C语言的循环反汇编 15 　　2.1.1 for循环 15 　　2.1.2 do循环 16 　　2.1.3 while循环 17 　　2.2 C语言判断与分支的反汇编 18 　　2.2.1 if-else判断分支 18 　　2.2.2 switch-case判断分支 19 　　2.3 C语言的数组与结构 22 　　2.4 C语言的共用体和枚举类型 24 　　第3章 练习反汇编C语言程序 26 　　3.1 算法的反汇编 27 　　3.1.1 算法反汇编代码分析 27 　　3.1.2 算法反汇编阅读技巧 28 　　3.2 发行版的反汇编 29 　　3.3 汇编反C语言练习 33 　　基础篇 内核编程 　　本书的第二部分，是编写Windows内核程序编程方法的基础。本部分包括第4~7章，如果读者对Windows内核编程已经有一定的了解，可以跳过本部分；如果读者从未接触过Windows内核编程，本部分将指导读者开始Windows内核编程，学会使用WDK，并熟悉内核编程的习惯与方法。 　　第4章 内核字符串与内存 38 　　4.1 字符串的处理 39 　　4.1.1 使用字符串结构 39 　　4.1.2 字符串的初始化 41 　　4.1.3 字符串的拷贝 42 　　4.1.4 字符串的连接 42 　　4.1.5 字符串的打印 43 　　4.2 内存与链表 45 　　4.2.1 内存的分配与释放 45 　　4.2.2 使用LIST_ENTRY 46 　　4.2.3 使用长长整型数据 49 　　4.2.4 使用自选锁 50 　　第5章 文件与注册表操作 52 　　5.1 文件操作 53 　　5.1.1 使用OBJECT_ATTRIBUTES 53 　　5.1.2 打开和关闭文件 54 　　5.1.3 文件读/写操作 58 　　5.2 注册表操作 60 　　5.2.1 注册表键的打开 60 　　5.2.2 注册表值的读 62 　　5.2.3 注册表值的写 65 　　第6章 时间与线程 67 　　6.1 时间与定时器 68 　　6.1.1 获得当前滴答数 68 　　6.1.2 获得当前系统时间 69 　　6.1.3 使用定时器 70 　　6.2 线程与事件 73 　　6.2.1 使用系统线程 73 　　6.2.2 在线程中睡眠 75 　　6.2.3 使用同步事件 76 　　第7章 驱动、设备与请求 79 　　7.1 驱动与设备 80 　　7.1.1 驱动入口与驱动对象 80 　　7.1.2 分发函数和卸载函数 80 　　7.1.3 设备与符号链接 82 　　7.1.4 设备的安全创建 83 　　7.1.5 设备与符号链接的用户相关性 85 　　7.2 请求处理 86 　　7.2.1 IRP与IO_STACK_LOCATION 86 　　7.2.2 打开与关闭请求的处理 88 　　7.2.3 应用层信息传入 89 　　7.2.4 驱动层信息传出 91 　　探索篇 研究内核 　　本书的第三部分，开始探索Windows内核程序，并尝试阅读反汇编代码作为指引。本部分包括第8~10章。如果读者对Windows内核编程已经有一定的了解，这一部分会比较有趣；如果读者从未接触过Windows内核编程，读者应该先学习第二部分。能自己编写内核程序并不意味着可以读懂内核，虽然反过来是一定成立的。读懂别人编写的没有代码的程序，比自己编写更困难一些，但的确是值得的。 　　第8章 进入Windows内核 96 　　8.1 开始Windows内核编程 97 　　8.1.1 内核编程的环境准备 97 　　8.1.2 用C语言写一个内核程序 99 　　8.2 学习用WinDbg进行调试 102 　　8.2.1 软件的准备 102 　　8.2.2 设置Windows XP调试执行 103 　　8.2.3 设置VMWare虚拟机调试 104 　　8.2.4 设置被调试机为Vista的情况 105 　　8.2.5 设置Windows内核符号表 106 　　8.2.6 调试例子diskperf 106 　　8.3 认识内核代码函数调用方式 107 　　8.4 尝试反写C内核代码 111 　　8.5 如何在代码中寻找需要的信息 113 　　第9章 用C++编写的内核程序 117 　　9.1 用C++开发内核程序 118 　　9.1.1 建立一个C++的内核工程 118 　　9.1.2 使用C接口标准声明 119 　　9.1.3 使用类静态成员函数 120 　　9.1.4 实现new操作符 121 　　9.2 开始阅读一个反汇编的类 122 　　9.2.1 new操作符的实现 122 　　9.2.2 构造函数的实现 124 　　9.3 了解更多的C++特性 126 　　第10章 继续探索Windows内核 131 　　10.1 探索Windows已有内核调用 132 　　10.2 自己实现XP的新调用 135 　　10.2.1 对照调试结果和数据结构 135 　　10.2.2 写出C语言的对应代码 137 　　10.3 没有符号表的情况 138 　　10.4 64位操作系统下的情况 141 　　10.4.1 分析64位操作系统的调用 143 　　10.4.2 深入了解64位内核调用参数传递 145 　　深入篇 修改内核 　　这是本书的第四部分。读者已经尝试过探索Windows内核程序，并尝试阅读反汇编代码。那么接下来，必须掌握修改内核的方法。每一个Windows内核程序，都可以看做Windows内核本身的一个“补丁”。有时只需要独立存在，就能起到它的作用；有时却必须对已有的内核二进制代码进行部分修改。本部分包括第11~13章，主要介绍的是内核Hook。 　　第11章 机器码与反汇编引擎 150 　　11.1 了解Intel的机器码 151 　　11.1.1 可执行指令与数据 151 　　11.1.2 单条指令的组成 152 　　11.1.3 MOD-REG-R/M的组成 155 　　11.1.4 其他的组成部分 157 　　11.2 反汇编引擎XDE32基本数据结构 159 　　11.3 反汇编引擎XDE32具体实现 162 　　第12章 CPU权限级与分页机制 166 　　12.1 Ring0和Ring3权限级 167 　　12.2 保护模式下的分页内存保护 169 　　12.3 分页内存不可执行保护 172 　　12.3.1 不可执行保护原理 172 　　12.3.2 不可执行保护的漏洞 173 　　12.4 权限级别的切换 177 　　12.4.1 调用门及其漏洞 178 　　12.4.2 sysenter和sysexit指令 181 　　第13章 开发Windows内核Hook 186 　　13.1 XP下Hook系统调用IoCallDriver 187 　　13.2 Vista下IofCallDriver的跟踪 189 　　13.3 Vista下inline hook 193 　　13.3.1 写入跳转指令并拷贝代码 193 　　13.3.2 实现中继函数 196 　　实战篇 实际开发 　　实战部分是本书最深入和复杂的一部分，包括第14～17章。为了让前面练习的成果，在实际应用中产生价值，在这部分我们补充更多的理论知识并尝试用它们去做一点什么。这一部分包括指令分析、硬件基础知识、内核Hook的实际开发练习，以及将完成一个用到内核Hook的有趣的实例，这个实例有助于计算机阻挡各种病毒和木马的侵袭。 　　此外，本部分还包括特殊的一章，涉及如何巧妙地编写代码，来防止被其他不受欢迎的读者阅读。这与本书的主旨完全相反，正所谓物极必反。 　　第14章 反病毒、木马实例开发 200 　　14.1 反病毒、木马的设想 201 　　14.2 开发内核驱动 204 　　14.2.1 在内核中检查可执行文件 204 　　14.2.2 在内核中生成设备接口 208 　　14.2.3 在内核中等待监控进程的响应 210 　　14.3 开发监控进程 216 　　14.4 本软件进一步展望 218 　　第15章 Rootkit与HIPS 220 　　15.1 Rootkit为何很重要 222 　　15.2 Rootkit如何逃过检测 224 　　15.3 HIPS如何检测Rootkit 234 　　第16章 手写指令保护代码 237 　　16.1 混淆字符串 238 　　16.2 隐藏内核函数 244 　　16.3 混淆流程与数据操作 251 　　16.3.1 混淆函数出口 251 　　16.3.2 插入有意义的花指令 253 　　第17章 用VMProtect保护代码 258 　　17.1 安装VMProtect 259 　　17.2 使用VMProtect 261 　　17.3 查看VMProtect效果 267 　　参考文献 270

天书夜读:从汇编语言到Windows内核编程（完整版一）

稍显枯燥的是，它们和Windows内核无关，是纯C语言与汇编语言的关系的章节。如果读者已经精通汇编语言，并能顺利阅读汇编代码，请直接跳过本部分。 　第1章 汇编指令与C语言 2 　1.1 上机建立第一个工程 4 　1.1.1 用...

天书夜读——从汇编语言到Windows内核编程(完整版)

天书夜读——从汇编语言到Windows内核编程(完整版)天书夜读——从汇编语言到Windows内核编程(完整版)天书夜读——从汇编语言到Windows内核编程(完整版)

天书夜读-从汇编语言到Windows内核编程 谭文.邵坚磊

很好的一本书,从汇编开始，包括反汇编等，对学习汇编也有很大的作用，然后是windows内核……

《天书夜读：从汇编语言到Windows内核编程》

《天书夜读：从汇编语言到Windows内核编程》：是一本介绍汇编语言与Windows内核编程基础的书。

天书夜读：从汇编语言到Windows内核编程

天书夜读：从汇编语言到Windows内核编程

天书夜谈:从汇编语言到Windows内核编程

入手篇 熟悉汇编 　　本书的第一部分，将帮助读者消除对汇编的恐惧，熟悉汇编。本部分包括第1~3章。稍显枯燥的是，它们和Windows内核无关，是纯C语言与汇编语言的关系的章节。如果读者已经精通汇编语言，并能顺利阅读汇编代码，请直接跳过本部分。 　　第1章 汇编指令与C语言 2 　　1.1 上机建立第一个工程 4 　　1.1.1 用Visual Studio创建工程 4 　　1.1.2 用Visual Studio查看汇编代码 5 　　1.2 简要复习常用的汇编指令 6 　　1.2.1 堆栈相关指令 6 　　1.2.2 数据传送指令 7 　　1.2.3 跳转与比较指令 8 　　1.3 C函数的参数传递过程 9 　　第2章 C语言的流程和处理 14 　　2.1 C语言的循环反汇编 15 　　2.1.1 for循环 15 　　2.1.2 do循环 16 　　2.1.3 while循环 17 　　2.2 C语言判断与分支的反汇编 18 　　2.2.1 if-else判断分支 18 　　2.2.2 switch-case判断分支 19 　　2.3 C语言的数组与结构 22 　　2.4 C语言的共用体和枚举类型 24 　　第3章 练习反汇编C语言程序 26 　　3.1 算法的反汇编 27 　　3.1.1 算法反汇编代码分析 27 　　3.1.2 算法反汇编阅读技巧 28 　　3.2 发行版的反汇编 29 　　3.3 汇编反C语言练习 33 　　基础篇 内核编程 　　本书的第二部分，是编写Windows内核程序编程方法的基础。本部分包括第4~7章，如果读者对Windows内核编程已经有一定的了解，可以跳过本部分；如果读者从未接触过Windows内核编程，本部分将指导读者开始Windows内核编程，学会使用WDK，并熟悉内核编程的习惯与方法。 　　第4章 内核字符串与内存 38 　　4.1 字符串的处理 39 　　4.1.1 使用字符串结构 39 　　4.1.2 字符串的初始化 41 　　4.1.3 字符串的拷贝 42 　　4.1.4 字符串的连接 42 　　4.1.5 字符串的打印 43 　　4.2 内存与链表 45 　　4.2.1 内存的分配与释放 45 　　4.2.2 使用LIST_ENTRY 46 　　4.2.3 使用长长整型数据 49 　　4.2.4 使用自选锁 50 　　第5章 文件与注册表操作 52 　　5.1 文件操作 53 　　5.1.1 使用OBJECT_ATTRIBUTES 53 　　5.1.2 打开和关闭文件 54 　　5.1.3 文件读/写操作 58 　　5.2 注册表操作 60 　　5.2.1 注册表键的打开 60 　　5.2.2 注册表值的读 62 　　5.2.3 注册表值的写 65 　　第6章 时间与线程 67 　　6.1 时间与定时器 68 　　6.1.1 获得当前滴答数 68 　　6.1.2 获得当前系统时间 69 　　6.1.3 使用定时器 70 　　6.2 线程与事件 73 　　6.2.1 使用系统线程 73 　　6.2.2 在线程中睡眠 75 　　6.2.3 使用同步事件 76 　　第7章 驱动、设备与请求 79 　　7.1 驱动与设备 80 　　7.1.1 驱动入口与驱动对象 80 　　7.1.2 分发函数和卸载函数 80 　　7.1.3 设备与符号链接 82 　　7.1.4 设备的安全创建 83 　　7.1.5 设备与符号链接的用户相关性 85 　　7.2 请求处理 86 　　7.2.1 IRP与IO_STACK_LOCATION 86 　　7.2.2 打开与关闭请求的处理 88 　　7.2.3 应用层信息传入 89 　　7.2.4 驱动层信息传出 91 　　探索篇 研究内核 　　本书的第三部分，开始探索Windows内核程序，并尝试阅读反汇编代码作为指引。本部分包括第8~10章。如果读者对Windows内核编程已经有一定的了解，这一部分会比较有趣；如果读者从未接触过Windows内核编程，读者应该先学习第二部分。能自己编写内核程序并不意味着可以读懂内核，虽然反过来是一定成立的。读懂别人编写的没有代码的程序，比自己编写更困难一些，但的确是值得的。 　　第8章 进入Windows内核 96 　　8.1 开始Windows内核编程 97 　　8.1.1 内核编程的环境准备 97 　　8.1.2 用C语言写一个内核程序 99 　　8.2 学习用WinDbg进行调试 102 　　8.2.1 软件的准备 102 　　8.2.2 设置Windows XP调试执行 103 　　8.2.3 设置VMWare虚拟机调试 104 　　8.2.4 设置被调试机为Vista的情况 105 　　8.2.5 设置Windows内核符号表 106 　　8.2.6 调试例子diskperf 106 　　8.3 认识内核代码函数调用方式 107 　　8.4 尝试反写C内核代码 111 　　8.5 如何在代码中寻找需要的信息 113 　　第9章 用C++编写的内核程序 117 　　9.1 用C++开发内核程序 118 　　9.1.1 建立一个C++的内核工程 118 　　9.1.2 使用C接口标准声明 119 　　9.1.3 使用类静态成员函数 120 　　9.1.4 实现new操作符 121 　　9.2 开始阅读一个反汇编的类 122 　　9.2.1 new操作符的实现 122 　　9.2.2 构造函数的实现 124 　　9.3 了解更多的C++特性 126 　　第10章 继续探索Windows内核 131 　　10.1 探索Windows已有内核调用 132 　　10.2 自己实现XP的新调用 135 　　10.2.1 对照调试结果和数据结构 135 　　10.2.2 写出C语言的对应代码 137 　　10.3 没有符号表的情况 138 　　10.4 64位操作系统下的情况 141 　　10.4.1 分析64位操作系统的调用 143 　　10.4.2 深入了解64位内核调用参数传递 145 　　深入篇 修改内核 　　这是本书的第四部分。读者已经尝试过探索Windows内核程序，并尝试阅读反汇编代码。那么接下来，必须掌握修改内核的方法。每一个Windows内核程序，都可以看做Windows内核本身的一个“补丁”。有时只需要独立存在，就能起到它的作用；有时却必须对已有的内核二进制代码进行部分修改。本部分包括第11~13章，主要介绍的是内核Hook。 　　第11章 机器码与反汇编引擎 150 　　11.1 了解Intel的机器码 151 　　11.1.1 可执行指令与数据 151 　　11.1.2 单条指令的组成 152 　　11.1.3 MOD-REG-R/M的组成 155 　　11.1.4 其他的组成部分 157 　　11.2 反汇编引擎XDE32基本数据结构 159 　　11.3 反汇编引擎XDE32具体实现 162 　　第12章 CPU权限级与分页机制 166 　　12.1 Ring0和Ring3权限级 167 　　12.2 保护模式下的分页内存保护 169 　　12.3 分页内存不可执行保护 172 　　12.3.1 不可执行保护原理 172 　　12.3.2 不可执行保护的漏洞 173 　　12.4 权限级别的切换 177 　　12.4.1 调用门及其漏洞 178 　　12.4.2 sysenter和sysexit指令 181 　　第13章 开发Windows内核Hook 186 　　13.1 XP下Hook系统调用IoCallDriver 187 　　13.2 Vista下IofCallDriver的跟踪 189 　　13.3 Vista下inline hook 193 　　13.3.1 写入跳转指令并拷贝代码 193 　　13.3.2 实现中继函数 196 　　实战篇 实际开发 　　实战部分是本书最深入和复杂的一部分，包括第14～17章。为了让前面练习的成果，在实际应用中产生价值，在这部分我们补充更多的理论知识并尝试用它们去做一点什么。这一部分包括指令分析、硬件基础知识、内核Hook的实际开发练习，以及将完成一个用到内核Hook的有趣的实例，这个实例有助于计算机阻挡各种病毒和木马的侵袭。 　　此外，本部分还包括特殊的一章，涉及如何巧妙地编写代码，来防止被其他不受欢迎的读者阅读。这与本书的主旨完全相反，正所谓物极必反。 　　第14章 反病毒、木马实例开发 200 　　14.1 反病毒、木马的设想 201 　　14.2 开发内核驱动 204 　　14.2.1 在内核中检查可执行文件 204 　　14.2.2 在内核中生成设备接口 208 　　14.2.3 在内核中等待监控进程的响应 210 　　14.3 开发监控进程 216 　　14.4 本软件进一步展望 218 　　第15章 Rootkit与HIPS 220 　　15.1 Rootkit为何很重要 222 　　15.2 Rootkit如何逃过检测 224 　　15.3 HIPS如何检测Rootkit 234 　　第16章 手写指令保护代码 237 　　16.1 混淆字符串 238 　　16.2 隐藏内核函数 244 　　16.3 混淆流程与数据操作 251 　　16.3.1 混淆函数出口 251 　　16.3.2 插入有意义的花指令 253 　　第17章 用VMProtect保护代码 258 　　17.1 安装VMProtect 259 　　17.2 使用VMProtect 261 　　17.3 查看VMProtect效果 267

天书夜读-从汇编语言到Windows内核编程

windows内核开发基础介绍, 适合有一定基础的人

天书夜读:从汇编语言到Windows内核编程

本书从基本的windows程序与汇编指令出发，深入浅出地讲解了windows内核的编程、调试、阅读，以及自行探索的方法。读者在使用c/c++开发windows程序的基础上，将熟练掌握汇编和c语言的应用，深入了解windows底层，并...

天书夜读从汇编语言到Windows内核编程

天书夜读从汇编语言到Windows内核编程 pdf

从汇编语言到Windows内核编程

很不错的电子书，经典书籍，值得一读

天书夜读:从汇编语言到Windows内核编程(完整版)_第1部(共2部)_降分了

天书夜读:从汇编语言到Windows内核编程(完整版)_第1部(共2部) 绝对是完整版，不是你拿刀砍我。本人在csdn上从不骗人。共2部，这是第1部 (鉴于有网友反应分值高，现从10分降至1分。谢谢大家的评价)

天书夜读:从汇编语言到Windows内核编程(完整版)_第2部(共2部)

天书夜读:从汇编语言到Windows内核编程(完整版)_第2部(共2部) 绝对是完整版，不是你拿刀砍我。本人在csdn上从不骗人。共2部，这是第2部

天书夜读－从汇编语言到Windows内核编程].谭文.邵坚磊.扫描版

天书夜读－从汇编语言到Windows内核编程].谭文.邵坚磊.扫描版天书夜读－从汇编语言到Windows内核编程].谭文.邵坚磊.扫描版天书夜读－从汇编语言到Windows内核编程].谭文.邵坚磊.扫描版天书夜读－从汇编语言到Windows...

天书夜读:从汇编语言到Windows内核编程(完整版)02(共02部)

天书夜读:从汇编语言到Windows内核编程(完整版)02(共02部) 这个版本没有上传正确，因为自己没法删除，请大家不要下载了。

天书夜读:从汇编语言到Windows内核编程(驱网核心技术丛书)

《天书夜读:从汇编语言到Windows内核编程》(驱网核心技术丛书)从基本的Windows程序与汇编指令出发，深入浅出地讲解了Windows内核的编程、调试、阅读，以及自行探索的方法：读读者在使用C/C++开发Windows程序的基础上...

从汇编语言到.Windows.内核编程

谭文.天书夜读 从汇编语言 到Windows 内核编程 第三卷 完结篇

天书夜读——从汇编语言到Windows内核编程.part1.rar

天书夜读——从汇编语言到Windows内核编程第一部分

从汇编语言到Windows内核编程_Kernel_win32asm_Asm_

从汇编语言到Windows内核编程 驱网核心技术丛书 天书夜读

从汇编语言到Windows内核编程_Windows编程_

《从汇编语言到Windows内核编程》这是一本关于Windows内核编程的书籍

天书夜读 从汇编到windows内核

天书夜读 从汇编语言到windows内核编程

寒江独钓-Windows内核安全编程完整版（内附源码）

完整的零基础学习windows下驱动编程（内附源码）。内核编程环境配置；串口过滤、键盘过滤；磁盘虚拟；磁盘过滤；文件系统过滤与监控；文件系统透明加密；文件系统微过滤；网络传输层过滤；NDIS协议驱动；NDIS小端口驱动；NDIS中间层驱动

windows内核编程

windows内核下操作字符串

达内2013Windows内核编程pdf

达内2013Windows内核编程的PDF文档

汇编\天书夜读(完整版).pdf

本书从基本的Windows程序与汇编指令出发，深入浅出地讲解了Windows内核的编程、调试、阅读，以及自行探索的方法。读者在使用C/C++开发Windows程序的基础上，将熟练掌握汇编和C语言的应用，深入了解Windows底层，并掌握阅读Windows内核的基本方法，以及Windows内核的基本编程方法。 本书适合使用C/C++在Windows上编程的读者，尤其适合希望加深自己技术功底的Windows应用程序员、计算机专业的有志于软件开发的大中院校学生；专业的Windows内核程序员，亦可从本书得到超越一般内核程序开发的启发。 作者简介 谭文：从2002年到2008年，从事信息安全类软件的Windows内核驱动的开发工作。从2008年开始参与一个主要涉及不同架构之间二进制指令的实时翻译技术的项目的开发。 真实完全版非试读版

Windows内核安全与驱动开发光盘源码

第1章 内核上机指导 2 1.1 下载和使用WDK 2 1.1.1 下载并安装WDK 2 1.1.2 编写第一个C文件 4 1.1.3 编译一个工程 5 1.2 安装与运行 6 1.2.1 下载一个安装工具 6 1.2.2 运行与查看输出信息 7 1.2.3 在虚拟机中运行 8 1.3 调试内核模块 9 1.3.1 下载和安装WinDbg 9 1.3.2 设置Windows XP调试执行 9 1.3.3 设置Vista调试执行 10 1.3.4 设置VMware的管道虚拟串口 11 1.3.5 设置Windows内核符号表 12 1.3.6 实战调试first 13 第2章 内核编程环境及其特殊性 16 2.1 内核编程的环境 16 2.1.1 隔离的应用程序 16 2.1.2 共享的内核空间 17 2.1.3 无处不在的内核模块 18 2.2 数据类型 19 2.2.1 基本数据类型 19 2.2.2 返回状态 19 2.2.3 字符串 20 2.3 重要的数据结构 21 2.3.1 驱动对象 21 2.3.2 设备对象 22 2.3.3 请求 24 2.4 函数调用 25 2.4.1 查阅帮助 25 2.4.2 帮助中有的几类函数 26 2.4.3 帮助中没有的函数 28 2.5 Windows的驱动开发模型 29 2.6 WDK编程中的特殊点 30 2.6.1 内核编程的主要调用源 30 2.6.2 函数的多线程安全性 30 2.6.3 代码的中断级 32 2.6.4 WDK中出现的特殊代码 32 第3章 字符串与链表 35 3.1 字符串操作 35 3.1.1 使用字符串结构 35 3.1.2 字符串的初始化 36 3.1.3 字符串的拷贝 37 3.1.4 字符串的连接 38 3.1.5 字符串的打印 38 3.2 内存与链表 40 3.2.1 内存的分配与释放 40 3.2.2 使用LIST_ENTRY 41 3.2.3 使用长长整型数据 43 3.3 自旋锁 44 3.3.1 使用自旋锁 44 3.3.2 在双向链表中使用自旋锁 45 3.3.3 使用队列自旋锁提高性能 46 第4章 文件、注册表、线程 47 4.1 文件操作 47 4.1.1 使用OBJECT_ATTRIBUTES 47 4.1.2 打开和关闭文件 48 4.1.3 文件读/写操作 51 4.2 注册表操作 53 4.2.1 注册表键的打开 53 4.2.2 注册表键值的读 55 4.2.3 注册表键值的写 57 4.3 时间与定时器 58 4.3.1 获得当前“滴答”数 58 4.3.2 获得当前系统时间 58 4.3.3 使用定时器 59 4.4 线程与事件 62 4.4.1 使用系统线程 62 4.4.2 在线程中睡眠 63 4.4.3 使用同步事件 64 第5章 应用与内核通信 67 5.1 内核方面的编程 68 5.1.1 生成控制设备 68 5.1.2 控制设备的名字和符号链接 70 5.1.3 控制设备的删除 71 5.1.4 分发函数 72 5.1.5 请求的处理 73 5.2 应用方面的编程 74 5.2.1 基本的功能需求 74 5.2.2 在应用程序中打开与关闭设备 75 5.2.3 设备控制请求 75 5.2.4 内核中的对应处理 77 5.2.5 结合测试的效果 79 5.3 阻塞、等待与安全设计 80 5.3.1 驱动主动通知应用 80 5.3.2 通信接口的测试 81 5.3.3 内核中的缓冲区链表结构 83 5.3.4 输入：内核中的请求处理中的安全检查 84 5.3.5 输出处理与卸载清理 85 第6章 64位和32位内核开发差异 88 6.1 64位系统新增机制 88 6.1.1 WOW64子系统 88 6.1.2 PatchGuard技术 91 6.1.3 64位驱动的编译、安装与运行 91 6.2 编程差异 92 6.2.1 汇编嵌入变化 92 6.2.2 预处理与条件编译 93 6.2.3 数据结构调整 93 开 发 篇 第7章 串口的过滤 96 7.1 过滤的概念 96 7.1.1 设备绑定的内核API之一 97 7.1.2 设备绑定的内核API之二 98 7.1.3 生成过滤设备并绑定 98 7.1.4 从名字获得设备对象 100 7.1.5 绑定所有串口 101 7.2 获得实际数据 102 7.2.1 请求的区分 102 7.2.2 请求的结局 103 7.2.3 写请求的数据 104 7.3 完整的代码 105 7.3.1 完整的分发函数 105 7.3.2 如何动态卸载 106 7.3.3 代码的编译与运行 107 第8章 键盘的过滤 109 8.1 技术原理 110 8.1.1 预备知识 110 8.1.2 Windows中从击键到内核 110 8.1.3 键盘硬件原理 112 8.2 键盘过滤的框架 112 8.2.1 找到所有的键盘设备 112 8.2.2 应用设备扩展 115 8.2.3 键盘过滤模块的DriverEntry 117 8.2.4 键盘过滤模块的动态卸载 117 8.3 键盘过滤的请求处理 119 8.3.1 通常的处理 119 8.3.2 PNP的处理 120 8.3.3 读的处理 121 8.3.4 读完成的处理 122 8.4 从请求中打印出按键信息 123 8.4.1 从缓冲区中获得KEYBOARD_INPUT_DATA 123 8.4.2 从KEYBOARD_INPUT_DATA中得到键 124 8.4.3 从MakeCode到实际字符 124 8.5 Hook分发函数 126 8.5.1 获得类驱动对象 126 8.5.2 修改类驱动的分发函数指针 127 8.5.3 类驱动之下的端口驱动 128 8.5.4 端口驱动和类驱动之间的协作机制 129 8.5.5 找到关键的回调函数的条件 129 8.5.6 定义常数和数据结构 130 8.5.7 打开两种键盘端口驱动寻找设备 131 8.5.8 搜索在KbdClass类驱动中的地址 133 8.6 Hook键盘中断反过滤 135 8.6.1 中断：IRQ和INT 136 8.6.2 如何修改IDT 136 8.6.3 替换IDT中的跳转地址 137 8.6.4 QQ的PS/2反过滤措施 139 8.7 直接用端口操作键盘 139 8.7.1 读取键盘数据和命令端口 139 8.7.2 p2cUserFilter的最终实现 140 第9章 磁盘的虚拟 143 9.1 虚拟的磁盘 143 9.2 一个具体的例子 143 9.3 入口函数 144 9.3.1 入口函数的定义 144 9.3.2 Ramdisk驱动的入口函数 145 9.4 EvtDriverDeviceAdd函数 146 9.4.1 EvtDriverDeviceAdd的定义 146 9.4.2 局部变量的声明 146 9.4.3 磁盘设备的创建 147 9.4.4 如何处理发往设备的请求 148 9.4.5 用户配置的初始化 149 9.4.6 链接给应用程序 151 9.4.7 小结 152 9.5 FAT12/16磁盘卷初始化 152 9.5.1 磁盘卷结构简介 152 9.5.2 Ramdisk对磁盘的初始化 154 9.6 驱动中的请求处理 160 9.6.1 请求的处理 160 9.6.2 读/写请求 160 9.6.3 DeviceIoControl请求 162 9.7 Ramdisk的编译和安装 164 9.7.1 编译 164 9.7.2 安装 164 9.7.3 对安装的深入探究 165 第10章 磁盘的过滤 167 10.1 磁盘过滤驱动的概念 167 10.1.1 设备过滤和类过滤 167 10.1.2 磁盘设备和磁盘卷设备过滤驱动 167 10.1.3 注册表和磁盘卷设备过滤驱动 168 10.2 具有还原功能的磁盘卷过滤驱动 168 10.2.1 简介 168 10.2.2 基本思想 169 10.3 驱动分析 169 10.3.1 DriverEntry函数 169 10.3.2 AddDevice函数 170 10.3.3 PnP请求的处理 174 10.3.4 Power请求的处理 178 10.3.5 DeviceIoControl请求的处理 178 10.3.6 bitmap的作用和分析 182 10.3.7 boot驱动完成回调函数和稀疏文件 187 10.3.8 读/写请求的处理 190 第11章 文件系统的过滤与监控 199 11.1 文件系统的设备对象 200 11.1.1 控制设备与卷设备 200 11.1.2 生成自己的一个控制设备 201 11.2 文件系统的分发函数 202 11.2.1 普通的分发函数 202 11.2.2 文件过滤的快速IO分发函数 203 11.2.3 快速IO分发函数的一个实现 205 11.2.4 快速IO分发函数逐个简介 206 11.3 设备的绑定前期工作 207 11.3.1 动态地选择绑定函数 207 11.3.2 注册文件系统变动回调 208 11.3.3 文件系统变动回调的一个实现 209 11.3.4 文件系统识别器 211 11.4 文件系统控制设备的绑定 212 11.4.1 生成文件系统控制设备的过滤设备 212 11.4.2 绑定文件系统控制设备 213 11.4.3 利用文件系统控制请求 215 11.5 文件系统卷设备的绑定 217 11.5.1 从IRP中获得VPB指针 217 11.5.2 设置完成函数并等待IRP完成 218 11.5.3 卷挂载IRP完成后的工作 221 11.5.4 完成函数的相应实现 223 11.5.5 绑定卷的实现 224 11.6 读/写操作的过滤 226 11.6.1 设置一个读处理函数 226 11.6.2 设备对象的区分处理 227 11.6.3 解析读请求中的文件信息 228 11.6.4 读请求的完成 230 11.7 其他操作的过滤 234 11.7.1 文件对象的生存周期 234 11.7.2 文件的打开与关闭 235 11.7.3 文件的删除 237 11.8 路径过滤的实现 238 11.8.1 取得文件路径的三种情况 238 11.8.2 打开成功后获取路径 238 11.8.3 在其他时刻获得文件路径 240 11.8.4 在打开请求完成之前获得路径名 240 11.8.5 把短名转换为长名 242 11.9 把sfilter编译成静态库 243 11.9.1 如何方便地使用sfilter 243 11.9.2 初始化回调、卸载回调和绑定回调 244 11.9.3 绑定与回调 245 11.9.4 插入请求回调 246 11.9.5 如何利用sfilter.lib 249 第12章 文件系统透明加密 252 12.1 文件透明加密的应用 252 12.1.1 防止企业信息泄密 252 12.1.2 文件透明加密防止企业信息泄密 253 12.1.3 文件透明加密软件的例子 253 12.2 区分进程 254 12.2.1 机密进程与普通进程 254 12.2.2 找到进程名字的位置 255 12.2.3 得到当前进程的名字 256 12.3 内存映射与文件缓冲 257 12.3.1 记事本的内存映射文件 257 12.3.2 Windows的文件缓冲 258 12.3.3 文件缓冲：明文还是密文的选择 259 12.3.4 清除文件缓冲 260 12.4 加密标识 263 12.4.1 保存在文件外、文件头还是文件尾 263 12.4.2 隐藏文件头的大小 264 12.4.3 隐藏文件头的设置偏移 266 12.4.4 隐藏文件头的读/写偏移 267 12.5 文件加密表 267 12.5.1 何时进行加密操作 267 12.5.2 文件控制块与文件对象 268 12.5.3 文件加密表的数据结构与初始化 269 12.5.4 文件加密表的操作：查询 270 12.5.5 文件加密表的操作：添加 271 12.5.6 文件加密表的操作：删除 272 12.6 文件打开处理 273 12.6.1 直接发送IRP进行查询与设置操作 274 12.6.2 直接发送IRP进行读/写操作 276 12.6.3 文件的非重入打开 277 12.6.4 文件的打开预处理 280 12.7 读/写加密和解密 285 12.7.1 在读取时进行解密 285 12.7.2 分配与释放MDL 286 12.7.3 写请求加密 287 12.8 crypt_file的组装 289 12.8.1 crypt_file的初始化 289 12.8.2 crypt_file的IRP预处理 290 12.8.3 crypt_file的IRP后处理 293 第13章 文件系统微过滤驱动 297 13.1 文件系统微过滤驱动简介 297 13.1.1 文件系统微过滤驱动的由来 297 13.1.2 Minifilter的优点与不足 298 13.2 Minifilter的编程框架 298 13.2.1 微文件系统过滤的注册 299 13.2.2 微过滤器的数据结构 300 13.2.3 卸载回调函数 303 13.2.4 预操作回调函数 303 13.2.5 后操作回调函数 306 13.2.6 其他回调函数 307 13.3 Minifilter如何与应用程序通信 309 13.3.1 建立通信端口的方法 310 13.3.2 在用户态通过DLL使用通信端口的范例 311 13.4 Minifilter的安装与加载 314 13.4.1 安装Minifilter的INF文件 314 13.4.2 启动安装完成的Minifilter 316 第14章 网络传输层过滤 317 14.1 TDI概要 317 14.1.1 为何选择TDI 317 14.1.2 从socket到Windows内核 318 14.1.3 TDI过滤的代码例子 319 14.2 TDI的过滤框架 319 14.2.1 绑定TDI的设备 319 14.2.2 唯一的分发函数 320 14.2.3 过滤框架的实现 322 14.2.4 主要过滤的请求类型 323 14.3 生成请求：获取地址 324 14.3.1 过滤生成请求 324 14.3.2 准备解析IP地址与端口 326 14.3.3 获取生成的IP地址和端口 327 14.3.4 连接终端的生成与相关信息的保存 329 14.4 控制请求 330 14.4.1 TDI_ASSOCIATE_ADDRESS的过滤 330 14.4.2 TDI_CONNECT的过滤 332 14.4.3 其他的次功能号 333 14.4.4 设置事件的过滤 334 14.4.5 TDI_EVENT_CONNECT类型的设置事件的过滤 336 14.4.6 直接获取发送函数的过滤 337 14.4.7 清理请求的过滤 339 14.5 本书例子tdifw.lib的应用 341 14.5.1 tdifw库的回调接口 341 14.5.2 tdifw库的使用例子 342 第15章 Windows过滤平台 345 15.1 WFP简介 345 15.2 WFP框架 345 15.3 基本对象模型 347 15.3.1 过滤引擎 347 15.3.2 垫片 347 15.3.3 呼出接口 347 15.3.4 分层 348 15.3.5 子层 349 15.3.6 过滤器 350 15.3.7 呼出接口回调函数 354 15.4 WFP操作 359 15.4.1 呼出接口的注册与卸载 360 15.4.2 呼出接口的添加与移除 360 15.4.3 子层的添加与移除 361 15.4.4 过滤器的添加 362 15.5 WFP过滤例子 362 第16章 NDIS协议驱动 370 16.1 以太网包和网络驱动架构 370 16.1.1 以太网包和协议驱动 370 16.1.2 NDIS网络驱动 371 16.2 协议驱动的DriverEntry 372 16.2.1 生成控制设备 372 16.2.2 注册协议 374 16.3 协议与网卡的绑定 375 16.3.1 协议与网卡的绑定概念 375 16.3.2 绑定回调处理的实现 376 16.3.3 协议绑定网卡的API 378 16.3.4 解决绑定竞争问题 379 16.3.5 分配接收和发送的包池与缓冲池 380 16.3.6 OID请求的发送和请求完成回调 381 16.3.7 ndisprotCreateBinding的最终实现 385 16.4 绑定的解除 390 16.4.1 解除绑定使用的API 390 16.4.2 ndisprotShutdownBinding的实现 392 16.5 在用户态操作协议驱动 395 16.5.1 协议的收包与发包 395 16.5.2 在用户态编程打开设备 396 16.5.3 用DeviceIoControl发送控制请求 397 16.5.4 用WriteFile发送数据包 399 16.5.5 用ReadFile发送数据包 400 16.6 在内核态完成功能的实现 402 16.6.1 请求的分发与实现 402 16.6.2 等待设备绑定完成与指定设备名 402 16.6.3 指派设备的完成 403 16.6.4 处理读请求 406 16.6.5 处理写请求 408 16.7 协议驱动的接收回调 412 16.7.1 和接收包有关的回调函数 412 16.7.2 ReceiveHandler的实现 413 16.7.3 TransferDataCompleteHandler的实现 417 16.7.4 ReceivePacketHandler的实现 418 16.7.5 接收数据包的入队 420 16.7.6 接收数据包的出队和读请求的完成 422 第17章 NDIS小端口驱动 427 17.1 小端口驱动的应用与概述 427 17.1.1 小端口驱动的应用 427 17.1.2 小端口驱动示例 428 17.1.3 小端口驱动的运作与编程概述 429 17.2 小端口驱动的初始化 429 17.2.1 小端口驱动的DriverEntry 429 17.2.2 小端口驱动的适配器结构 431 17.2.3 配置信息的读取 433 17.2.4 设置小端口适配器上下文 433 17.2.5 MPInitialize的实现 434 17.2.6 MPHalt的实现 437 17.3 打开ndisprot设备 438 17.3.1 IO目标 438 17.3.2 给IO目标发送DeviceIoControl请求 439 17.3.3 打开ndisprot接口并完成配置设备 441 17.4 使用ndisprot发送包 443 17.4.1 小端口驱动的发包接口 443 17.4.2 发送控制块（TCB） 444 17.4.3 遍历包组并填写TCB 446 17.4.4 写请求的构建与发送 449 17.5 使用ndisprot接收包 451 17.5.1 提交数据包的内核API 451 17.5.2 从接收控制块（RCB）提交包 452 17.5.3 对ndisprot读请求的完成函数 454 17.5.4 读请求的发送 456 17.5.5 用于读包的WDF工作任务 457 17.5.6 ndisedge读工作任务的生成与入列 459 17.6 其他的特征回调函数的实现 461 17.6.1 包的归还 461 17.6.2 OID查询处理的直接完成 462 17.6.3 OID设置处理 465 第18章 NDIS中间层驱动 467 18.1 NDIS中间层驱动概述 467 18.1.1 Windows网络架构总结 467 18.1.2 NDIS中间层驱动简介 468 18.1.3 NDIS中间层驱动的应用 469 18.1.4 NDIS包描述符结构深究 470 18.2 中间层驱动的入口与绑定 473 18.2.1 中间层驱动的入口函数 473 18.2.2 动态绑定NIC设备 474 18.2.3 小端口初始化（MpInitialize） 475 18.3 中间层驱动发送数据包 477 18.3.1 发送数据包原理 477 18.3.2 包描述符“重利用” 478 18.3.3 包描述符“重申请” 481 18.3.4 发送数据包的异步完成 482 18.4 中间层驱动接收数据包 484 18.4.1 接收数据包概述 484 18.4.2 用PtReceive接收数据包 485 18.4.3 用PtReceivePacket接收 490 18.4.4 对包进行过滤 491 18.5 中间层驱动程序查询和设置 494 18.5.1 查询请求的处理 494 18.5.2 设置请求的处理 496 18.6 NDIS句柄 498 18.6.1 不可见的结构指针 498 18.6.2 常见的NDIS句柄 499 18.6.3 NDIS句柄误用问题 500 18.6.4 一种解决方案 502 18.7 生成普通控制设备 503 18.7.1 在中间层驱动中添加普通设备 503 18.7.2 使用传统方法来生成控制设备 505 第19章 IA-32汇编基础 511 19.1 x86内存、寄存器与堆栈 511 19.1.1 _asm关键字 511 19.1.2 x86中的mov指令 512 19.1.3 x86中的寄存器与内存 512 19.1.4 赋值语句的实现 513 19.2 x86中函数的实现 514 19.2.1 一个函数的例子 514 19.2.2 堆栈的介绍 515 19.2.3 寄存器的备份和恢复 516 19.2.4 内部变量与返回值 518 19.3 x86中函数的调用与返回 521 19.3.1 函数的调用指令call 521 19.3.2 通过堆栈传递参数 521 19.3.3 从函数返回 523 19.3.4 三种常见的调用协议 524 19.4 从32位汇编到64位汇编 526 19.4.1 Intel 64与IA-32体系架构简介 526 19.4.2 64位指令与32位指令 526 19.4.3 通用寄存器 527 19.5 64位下的函数实现 528 19.5.1 函数概览 528 19.5.2 32位参数的传递 529 19.5.3 64位参数与返回值 530 19.5.4 栈空间的开辟与恢复 531 第20章 IA-32体系中的内存地址 534 20.1 内存的虚拟地址 534 20.1.1 C语言中的内存地址 534 20.1.2 虚拟地址的构成 535 20.1.3 段的选择 536 20.2 全局描述符表和段描述符 538 20.2.1 全局描述符表 538 20.2.2 段类型 539 20.2.3 段寄存器与段选择子 540 20.2.4 64位模式下的段 541 20.3 分段编程实践 542 20.3.1 系统表寄存器的结构 542 20.3.2 在汇编语言中获取全局描述表的位置 543 20.3.3 调试范例：sgdt指令的错误使用 545 20.3.4 在64位下获得全局描述符表 547 20.4 线性地址基础 549 20.4.1 分页控制机制 550 20.4.2 线性地址的转换 551 20.4.3 混合页面大小 552 20.4.4 32位物理地址的页目录和页表项 552 20.5 各种特殊分页方式 555 20.5.1 PAE分页方式 555 20.5.2 PSE-36分页机制 558 20.5.3 IA-32e模式下的线性地址 559 20.6 分页编程实践 562 20.6.1 页目录和页目录指针表的获取 562 20.6.2 页表的获取 564 20.6.3 线性地址的结构 567 第21章 处理器权限级别切换 571 21.1 Ring0和Ring3权限级别 571 21.2 保护模式下的分页内存保护 572 21.3 分页内存不可执行保护 574 21.3.1 不可执行保护原理 574 21.3.2 不可执行保护的漏洞 575 21.3.3 上机实践 577 21.4 权限级别的切换 579 21.4.1 调用门及其漏洞 579 21.4.2 sysenter和sysexit指令 581 21.4.3 上机实践 583 第22章 IA-32体系结构中的中断 585 22.1 中断基础知识 585 22.1.1 中断描述符表 585 22.1.2 中断处理过程 587 22.1.3 64位模式下的中断处理机制 589 22.1.4 多核下的中断 589 22.2 Windows中断机制 593 22.3 中断编程实践 596 22.3.1 IDT Hook 596 22.3.2 巧用IDT Hook实现安全防护 598 第23章 Windows内核挂钩 601 23.1 系统服务描述符表挂钩 602 23.1.1 系统服务描述符表（SSDT） 602 23.1.2 系统服务描述符表挂钩的意图 603 23.1.3 寻找要挂钩的函数的地址 604 23.1.4 函数被挂钩的过程 605 23.1.5 具体实现的代码 606 23.2 函数导出表挂钩 608 23.2.1 内核函数的种类 608 23.2.2 挂钩IoCallDriver 610 23.2.3 对跳转地址进行修改 611 23.3 Windows 7系统下IofCallDriver的跟踪 612 23.4 Windows 7系统下内联挂钩 615 23.4.1 写入跳转指令并拷贝代码 615 23.4.2 实现中继函数 617 高 级 篇 第24章 Windows通知与回调 620 24.1 Windows的事件通知与回调 620 24.2 常用的事件通知 620 24.2.1 创建进程通知 621 24.2.2 创建线程通知 625 24.2.3 加载模块通知 626 24.2.4 注册表操作通知 629 24.3 Windows回调机制 636 24.3.1 回调对象 636 24.3.2 回调对象的创建 637 24.3.3 回调对象的注册 637 24.3.4 回调的通告 638 24.4 安全的死角，回调的应用 639 第25章 保护进程 640 25.1 内核对象简介 640 25.2 内核对象的结构 641 25.3 保护内核对象 642 25.3.1 处理对象的打开 643 25.3.2 处理句柄的复制 644 25.3.3 处理句柄的继承 646 25.4 进程的保护 652 25.4.1 保护原理 652 25.4.2 Vista以后的进程对象保护 654 25.4.3 进程的其他保护 655 附录A 如何使用本书的源码光盘 656 附录B 练习题 659

windows 程序设计

WINDOWS环境 Windows几乎不需要介绍。然而人们很容易忘记Windows给办公室和家庭桌上型计算机所带来的重大改变。Windows在其早期曾经走过一段坎坷的道路，征服桌上型计算机市场的前途一度相当渺茫。 Windows简史 在1981年秋天IBM PC推出之后不久，MS-DOS就已经很明显成为PC上的主流操作系统。MS-DOS代表Microsoft Disk Operating System（磁盘操作系统）。MS-DOS是一个小型的操作系统。MS-DOS提供给用户一种命令列接口，提供如DIR和TYPE的命令，也可以将应用程序加载内存执行。对于应用程序写作者，它提供了一组函数呼叫，进行文件的输入输出（I/O )。对于其它的外围处理－尤其是将文字或图形写到显示器上－应用程序可以直接存取PC的硬件。 由于内存和硬件的限制，成熟的图形环境缓慢地才到来。当苹果计算机公司不幸的Lisa计算机在1983年1月发表时，它提供了不同于文字模式环境的另一种选择，并在1984年1月成为Macintosh上图形环境的一种标准。尽管Macintosh的市场占有率在下降，但是它仍然被认为是衡量所有其它图形环境的标准。包括Macintosh和Windows的所有图形环境，其实都要归功于Xerox Palo Alto Research Center（PARC）在70年代中期所作的开拓性研究工作。 Windows是由微软在1983年11月（在Lisa之后，Macintosh之前）宣布，并在两年后（1985年11月）发行。在此后的两年中，紧随着Microsoft Windows早期版本1.0之后，又推出了几种改进版本，以支持国际商业市场，并提供新型视讯显示器和打印机的驱动程序。 Windows版本2.0是在1987年11月正式在市场上推出的。该版本对使用者接口做了一些改进。这些改进中最有效的是使用了可重迭式窗口，而Windows 1.0中使用的是并排式窗口。Windows 2.0还增强了键盘和鼠标接口，特别是加入了菜单和对话框。 至此，Windows还只要求Intel 8086或者8088等级的微处理器，以「实际模式」执行，只能存取地址在1MB以下的内存。Windows/386（在Windows 2.0之后不久发行的）使用Intel 386微处理器的「虚拟8086」模式，实现将直接存取硬件的多个MS-DOS程序窗口化和多任务化。为了统一起见，Windows版本2.1被更名为Windows/286。 Windows 3.0是在1990年5月22日发表的。它将Windows/286和Windows/386结合到同一种产品中。Windows 3.0有了一个很大的改变，这就是对Intel的286、386和486微处理器保护模式的支持。这能使Windows和Windows应用程序能存取高达16MB的内存。Windows用于执行程序和维护文件的「外壳」程序得到了全面的改进。Windows 3.0是第一个在家用和办公室市场上取得立足点的版本。 任何Windows的历史介绍都必须包括一些OS/2的说明，OS/2是对DOS和Windows的另一种选择，最初是由Microsoft和IBM合作开发的。OS/2版本1.0（只有文字模式）在Intel 286（或者后来的）微处理器上运行，在1987年末发布。在1988年10月的OS/2版本1.1中出现了管理图形使用者接口的PM（Presentation Manager）。PM最初的设计构想是成为Windows的一种保护模式版本，但是图形API改变程度太大，致使软件生产厂商很难提供对这两种平台的支持。 到1990年9月，IBM和Microsoft之间的冲突达到了高峰，导致这两个公司最后分道扬镳。IBM接管了OS/2，而Microsoft明确表示Windows将是他们操作系统策略的中心。虽然OS/2仍然拥有一些狂热的崇拜者，但是它远不及Windows这样的普及程度。 Microsoft Windows版本3.1是1992年4月发布的，其中包括的几个重要特性是TrueType字体技术（给Windows带来可缩放的轮廓字体)、多媒体（声音和音乐)、对象连结和嵌入（OLE：Object Linking and Embedding）和通用对话框。跟OS/2一样，Windows 3.1只能在保护模式下运作，并且要求至少配置了1MB内存的286或386处理器。 在1993年7月发表的Windows NT是第一个支持Intel 386、486和Pentium微处理器32位保护模式的Windows版本。Windows NT提供32位平坦寻址，并使用32位的指令集。（本章后面我会谈到一些寻址空间的问题)。Windows NT还可以移植到非Intel处理器上，并在几种使用RISC芯片的工作站上执行。 Windows 95是在1995年8月发布的。和Windows NT一样，Windows 95也支持Intel 386或更高等级处理器的32位保护模式。虽然它缺少Windows NT中的某些功能，诸如高安全性和对RISC机器的可移植性等，但是Windows 95具有需要较少硬件资源的优点。 Windows 98在1998年6月发布，具有许多加强功能，包括执行效能的提高、更好的硬件支持以及与因特网和全球信息网（WWW）更紧密的结合。 Windows方面 Windows 98和Windows NT都是支持32位优先权式多任务（preemptive multitasking）及多线程的图形操作系统。Windows拥有图形使用者接口（GUI )，这种使用者界面也称作「可视化接口」或「图形窗口环境」。有关GUI的概念可追溯至70年代中期，在Alto和Star等机器上以及SmallTalk等环境中由Xerox PARC所作的研究工作。该项研究的成果后来被Apple Computer和Microsoft引入主流并流行起来。虽然有一些争议，但现在已非常清楚，GUI是（Microsoft的Charles Simonyi的说法）一个在个人计算机工业史上集各方面技术大成于一体的最重要产物。 所有GUI都在点矩阵对应的视讯显示器上处理图形。图形提供了使用屏幕的最佳方式、传递信息的可视化丰富多彩环境，以及能够WYSIWYG（what you see is what you get：所见即所得）的图形视讯显示和为书面文件准备好格式化文字输出内容。 在早期，视讯显示器仅用于响应使用者通过键盘输入的文字。在图形使用者接口中，视讯显示器自身成为使用者输入的一个来源。视讯显示器以图标和输入设备（例如按钮和滚动条）的形式显示多种图形对象。使用者可以使用键盘（或者更直接地使用鼠标等指向设备）直接在屏幕上操纵这些对象，拖动图形对象、按下鼠标按钮以及滚动滚动条。 因此，使用者与程序的交流变得更为亲密。这不再是一种从键盘到程序，再到视讯显示器的单向信息流动，使用者已经能够与显示器上的对象直接交互作用了。 使用者不再需要花费长时间学习如何使用计算机或掌握新程序了。Windows让这一切成真，因为所有应用程序都有相同的基本外观和感觉。程序占据一个窗口－屏幕上的一块矩形区域。每个窗口由一个标题列标识。大多数程序功能由程序的菜单开始。用户可使用滚动条观察那些无法在一个屏幕中装下的信息。某些菜单项目触发对话框，用户可在其中输入额外的信息。几乎在每个大的Windows程序中都有一个用于开启文件的特殊对话框。该对话框在所有这些Windows程序中看起来都一样（或接近相同），而且几乎总是从同一菜单选项中启动。 一旦您了解使用一个Windows程序的方法，您就非常容易学习其它的Windows程序。菜单和对话框允许用户试验一个新程序并探究它的功能。大多数Windows程序同时具有键盘接口和鼠标接口。虽然Windows程序的大多数功能可通过键盘控制，但使用鼠标要容易得多。 从程序写作者的角度看，一致的使用者接口来自于Windows建构菜单和对话框的内置程序。所有菜单都有同样的键盘和鼠标接口，因为这项工作是由Windows处理，而不是由应用程序处理。 为便于多个程序的使用，以及这些程序间信息的交换，Windows支持多任务。在同一时刻能有多个Windows程序显示并运行。每个程序在屏幕上占据一个窗口。用户可在屏幕上移动窗口，改变它们的大小，在不同程序间切换，并从一个程序向另一个程序传送数据。因为这些窗口看起来有些像桌面上的纸（当然，这是计算机还未占据办公桌之前的年代），Windows有时被称作：一个显示多个程序的「具象化桌面」。 Windows的早期版本使用一种「非优先权式（non-preemptive）」的多任务系统。这意味着Windows不使用系统定时器将处理时间分配给系统中运行的多个应用程序，程序必须自愿放弃控制以便其它程序运行。在Windows NT和Windows 98中，多任务是优先权式的，而且程序自身可分割成近乎同时执行的多个执行绪。 操作系统不对内存进行管理便无法实现多任务。当新程序启动、旧程序终止时，内存会出现碎裂空间。系统必须能够将闲置的内存空间组织在一起，因此系统必须能够移动内存中的程序代码和数据块。 即使是在8088微处理器上跑的Windows 1.0也能进行这类内存管理。在实际模式限制下，这种能力被认为是软件工程一个令人惊讶的成就。在Windows 1.0中，PC硬件结构的640KB内存限制，在不要求任何额外内存的情况下被有效地扩展了。但Microsoft并未就此停步：Windows 2.0允许Windows应用程序存取扩充内存（EMS）；Windows 3.0在保护模式下，允许Windows应用程序存取高达16MB的扩展内存。Windows NT和Windows 98通过成熟的32位操作系统及平坦寻址空间，摆脱了这些旧的限制。 Windows上执行的程序可共享在称为「动态链接库」的文件中的例程。Windows包括一个机制，能够在执行时连结使用动态链接库中例程的程序。Windows自身基本上就是一个动态链接库的集合。 Windows是一个图形接口，Windows程序能够在视讯显示器和打印机上充分利用图形和格式化文字。图形接口不仅在外观上更有吸引力，而且还能够让使用者传递高层次的信息。 Windows应用程序不能直接存取屏幕和打印机等图形显示设备硬件。相反，Windows提供一种图形程序语言（称作图形设备接口，或者GDI），使显示图形和格式化文字更容易。Windows虚拟化了显示硬件，使为Windows编写的程序可使用任何具有Windows设备驱动程序的视频卡或打印机，而程序无需确定系统相连的设备类型。 对Windows开发者来说，将与设备无关的图形接口输出到IBM PC上不是件轻松的事。PC的设计是基于开放式架构的原则，鼓励第三方硬件制造商为PC开发接口设备，而且开发了大量这样的设备。虽然出现了多种标准，PC上的传统MS-DOS程序仍不得不各自支持许多不同的硬设备。这对MS-DOS字处理软件来说非常普遍，它们连同1到2张有许多小文件的磁盘一同销售，每个文件支持一种特定的打印机。Windows程序不要求每个应用程序都自行开发这些驱动程序，因为这种支持是Windows的一部分。 动态链接 Windows运作机制的核心是一个称作「动态链接」的概念。Windows提供了应用程序丰富的可呼叫函数，大多数用于实作其使用者接口和在视讯显示器上显示文字和图形。这些函数采用动态链接库（Dynamic Linking Library，DLL）的方式撰写。这些动态链接库是些具有.DLL或者有时是.EXE扩展名的文件，在Windows 98中通常位于\WINDOWS\SYSTEM子目录中，在Windows NT中通常位于\WINNT\SYSTEM和\WINNT\SYSTEM32子目录中。 在早期，Windows的主要部分仅通过三个动态链接库实作。这代表了Windows的三个主要子系统，它们被称作Kernel、User和GDI。当子系统的数目在Windows最近版本中增多时，大多数典型的Windows程序产生的函数呼叫仍对应到这三个模块之一。Kernel（日前由16位的KRNL386.EXE和32位的KERNEL32.DLL实现）处理所有在传统上由操作系统核心处理的事务－内存管理、文件I/O和多任务管理。User（由16位的USER.EXE和32位的USER32.DLL实作）指使用者接口，实作所有窗口运作机制。GDI（由16位的GDI.EXE和32位的GDI32.DLL实作）是一个图形设备接口，允许程序在屏幕和打印机上显示文字和图形。 Windows 98支持应用程序可使用的上千种函数呼叫。每个函数都有一个描述名称，例如CreateWindow。该函数（如您所猜想的）为程序建立新窗口。所有应用程序可以使用的Windows函数都在表头文件里预先声明过。 在Windows程序中，使用Windows函数的方式通常与使用如strlen等C语言链接库函数的方式相同。主要的区别在于C语言链接库函数的机械码连结到您的程序代码中，而Windows函数的程序代码在您程序执行文件外的DLL中。 当您执行Windows程序时，它通过一个称作「动态链接」的过程与Windows相接。一个Windows的.EXE文件中有使用到的不同动态链接库的参考数据，所使用的函数即在那些动态链接库中。当Windows程序被加载到内存中时，程序中的呼叫被指向DLL函数的入口。如果该DLL不在内存中，就把它加载到内存中。 当您连结Windows程序以产生一个可执行文件时，您必须连结程序开发环境提供的特定「引用链接库（import library）」。这些引用链接库包含了动态链接库名称和所有Windows函数呼叫的引用信息。连结程序使用该信息在.EXE文件中建立一个表格，在加载程序时，Windows使用它将呼叫转换为Windows函数。 WINDOWS程序设计选项 为说明Windows程序设计的多种技术，本书提供了许多范例程序。这些程序使用C语言撰写并原原本本的使用Windows API来开发程序。我将这种方法称作「古典」Windows程序设计。这是我们在1985年为Windows 1.0写程序的方法，它今天仍是写作Windows程序的有效方法。 API和内存模式 对于程序写作者来说，操作系统是由本身的API定义的。API包含了所有应用程序能够使用的操作系统函数呼叫，同时包含了相关的数据型态和结构。在Windows中，API还意味着一个特殊的程序架构，我们将在每章的开头进行研究。 一般而言，Windows API自Windows 1.0以来一直保持一致，没什么重大改变。具有Windows 98程序写作经验的Windows程序写作者会对Windows 1.0程序的原始码感觉非常熟悉。API改变的一种方式是进行增强。Windows 1.0支持不到450个函数呼叫，现在已有了上千种函数呼叫。 Windows API和它的语法的最大变化来自于从16位架构向32位架构转化的过程中。Windows从版本1.0到版本3.1使用16位Intel 8086、8088、和286微处理器上所谓的分段内存模式，由于兼容性的原因，从386开始的32位Intel微处理器也支持该模式。在这种模式下，微处理器缓存器的大小为16位，因此C的int数据型态也是16位宽。在分段内存模式下，内存地址由两个部分组成－一个16位段（segment）指针和一个16位偏移量（offset）指标。从程序写作者的角度看，这非常凌乱并带来了long或far指针（包括段地址和偏移量地址）和short或near指标（包括带有假定段地址的偏移量地址）的区别。 从Windows NT和Windows 95开始，Windows支持使用Intel 386、486和Pentium处理器32位模式下的32位平坦寻址内存模式。C语言的int数据型态也扩展为32位的值。为32位版本Windows编写的程序使用简单的平坦线性空间寻址的32位指针值。 用于16位版本Windows的API（Windows 1.0到Windows 3.1）现在称作Win16。用于32位版本Windows的API（Windows 95、Windows 98和所有版本的Windows NT）现在称作Win32。许多函数呼叫在从Win16到Win32的转变中保持相同，但有些需要增强。例如，图像坐标点由Win16中的16位值变为Win32中的32位值。此外，某些Win16函数呼叫返回一个包含在32位整数值中的二维坐标点。这在Win32中不可能，因此增加的新函数呼叫以不同方式运作。 所有32位版本的Windows都支持Win16 API（以确保和旧有应用程序兼容）和Win32 API（以运行新应用程序）。非常有趣的是，Windows NT与Windows 95及Windows 98的工作方式不同。在Windows NT中，Win16函数呼叫通过一个转换层被转化为Win32函数呼叫，然后被操作系统处理。在Windows 95和Windows 98中，该操作正相反：Win32函数呼叫通过转换层转换为Win16函数呼叫，再由操作系统处理。 在同一时刻有两个不同的Windows API集（至少名称不同）。Win32s （「s」代表「subset（子集）」）是一个API，允许程序写作者编写在Windows 3.1上执行的32位应用程序。该API仅支持已被Win16支持的32位函数版本。此外，Windows 95 API一度被称作Win32c（「c」代表「compatibility（兼容性）」），但该术语已被抛弃了。 现在，Windows NT和Windows 98都被认为能够支持Win32 API。然而，每个操作系统依然都支持某些不被别的操作系统支持的某些功能特性。因为它们的相同之处是相当可观的，所以有可能编写在两个操作系统下都可执行的程序。而且，人们普遍认为这两个产品最终会合而为一。 语言选项 使用C语言和原始的API不是编写Windows 98程序的唯一方法。然而，这种方法却提供给您最佳的性能、最强大的功能和在发掘Windows特性方面最大的灵活性。可执行文件相对较小且运行时不要求外部链接库（自然，Windows DLL自身除外）。最重要的是，不管您最终以什么方式开发Windows应用程序，熟悉API会使您对Windows内部有更深入的了解。 虽然我认为学习古典的Windows程序设计对任何Windows程序写作者都是重要的，我没有必要建议使用C和API编写每个Windows应用程序。许多程序写作者，特别是那些为公司内部开发程序或在家编写娱乐程序的程序写作者喜欢轻松的开发环境，例如Microsoft Visual Basic或者Borland Delphi（它结合了对象导向的Pascal版本）。这些环境使程序写作者将精力集中于应用程序的使用者接口和相关使用者接口对象的程序代码上。要学习Visual Basic，您也许需要参考Microsoft Press的一些其它图书，例如Michael Halvorson1996年着的《Learn Visual Basic Now》。 在专业程序写作者中－特别是那些开发商业应用程序的程序写作者－Microsoft Visual C++和Microsoft Foundation Class Library（MFC）是近年来流行的选择。MFC在一组C++对象类别中封装了许多Windows程序设计中的琐碎细节。Jeff Prosise的《Programming Windows with MFC,第二版》（Microsoft Press,1999年）提供了MFC程序的写作指南。 最近，Internet和World Wide Web的流行大力推广着Sun Microsystems的Java，这是一个受C++启发却与微处理器无关的程序设计语言，而且结合了可在几个操作系统平台上执行的图形应用程序开发工具组。Microsoft Press有一本关于Microsoft J++（Microsoft的Java）开发工具的好书，《Programming Visual J++ 6.0》（1998年），由Stephen R. Davis着。 显然，很难说哪种方法更有利于开发Windows应用程序。更主要的是，也许是应用程序自身的特性决定了所使用的工具。不管您最后实际上使用什么工具写作程序，学习Windows API将使您更深入地了解Windows工作的方式。Windows是一个复杂的系统，在API上增加一个程序写作层并未减少它的复杂性，仅仅是掩盖了它，早晚您会碰到它。了解API会给您更好的补救机会。 在原始的Windows API之上的任何软件层都必定将您限制在全部功能的一个子集内。您也许发现，例如，使用Visual Basic编写应用程序非常理想，然而它不允许您做一个或两个很简单的基本工作。在这种情况下，您将不得不使用原始的API呼叫。API定义了作为Windows程序写作者所需的一切。没有什么方法比直接使用API更万能的了。 MFC尤其问题百出。虽然它大幅简化了某些工作（例如OLE），我却经常发现要让它们按我所想的去工作时，会在其它特性（例如Document/View架构）上碰壁。MFC还不是Windows程序设计者所追求的灵丹妙药，很少有人认为它是一个好的对象导向设计的模型。MFC程序写作者从他们使用的对象类别定义如何工作中受益颇深，并会发现他们经常参考MFC原始码，搞懂这些原始码是学习Windows API的好处之一。 程序开发环境 在本书中，假定您正使用Microsoft Visual C++ 6.0，标准版、专业版和企业版都可以。经济的标准版足以应付本书中的程序设计需求。Visual C++ 还是Visual Studio 6.0中的一部分。 Microsoft Visual C++ 软件包中包括C编译器和其它编译及连结Windows程序所需的文件和工具等。它还包括Visual C++ Developer Studio，一个可编辑原始码、以交谈方式建立资源（如图标和对话框）以及编辑、编译、执行和测试程序的环境。 如果您正使用Visual C++ 5.0，则需要为Windows 98和Windows NT 5.0更新表头文件和引用链接库，这些东西可从Microsoft的网站上得到。在 http://www.microsoft.com/msdn/，选择「Downloads」，然后选择「 Platform SDK」（软件开发套件），您就能在选择的目录中下载和安装更新文件。要让Microsoft Developer Studio浏览这些目录，可以从「Tool」菜单项选择「 Options」然后按下「Directories」标签。 Microsoft网站上的msdn部分代表「Microsoft Developer Network（Microsoft软件开发者网络）」。这是一个向程序写作者提供了经常更新的CD-ROM的计划，这些CD-ROM中包含了程序写作者在Windows开发中所需的最新东西。您也可以订阅MSDN，这样就避免经常得从Microsoft的网站下载文件。 API文件 本书不是Windows API权威的正式文件的替代品。那组文件不再以印刷形式出版，它仅能从CD-ROM或Internet上取得。 当您安装Visual C++ 6.0时，您将得到一个包括API文件的在线求助系统。您可通过订阅MSDN或使用Microsoft网站上的在线求助系统更新该文件。连接到 http://www.microsoft.com/msdn/，并选择「MSDN Library Online」。 在Visual C++ 6.0中，从「Help」菜单项选择「Contents」项目开启MSDN窗口。API文件按树形结构组织，寻找标有「 Platform SDK」的部分，所有在本书中引用的文件都来自于该部分。我将向您介绍如何从「 Platform SDK」开始寻找以斜线分层分门别类的文件的位置。（我知道「Platform SDK」是整个MSDN知识库中较为晦涩的部分，但我敢保证那是Windows程序设计的基本核心。）例如，对于如何在Windows程序中使用鼠标的文件，您可参考/ Platform SDK / User Interface Services / User Input / Mouse Input。 我在前面提到Windows大致分为Kernel、User和GDI子系统。kernel接口在/ Platform SDK / Windows Base Services中，User界面函数在 / Platform SDK / User Interface Services中，GDI位于 / Platform SDK / Graphics and Multimedia Services / GDI中。 编写第一个WINDOWS程序 现在是开始写些程序的时候了。为了便于对比，让我们以一个非常短的Windows程序和一个简短的文字模式程序开始。这会帮助我们找到使用开发环境并感受建立和编译程序机制的正确方向。 文字模式（Character-Mode）模型 程序写作者们喜爱的一本书是《The C Programming Language》（Prentice Hall，1978年和1988年），由Brian W. Kernighan和Dennis M. Ritchie（亲切地称为K&R）编着。该书的第一章以一个显示「hello, world」的C语言程序开始。 这里是在《The C Programming Language》第一版第6页中出现的程序： main () { printf ("hello, world\n") ; } 以前C程序写作者在使用printf等C执行期链接库函数时，无需先声明它们。但这是90年代，我们愿意给编译器一个在我们的程序中标出错误的机会。这里是在K&R第二版中修正的程序： #include <stdio.h> main () { printf ("hello, world\n") ; } 该程序仍然是那么短。但它可通过编译并执行得很好，但当今许多程序写作者更愿意清楚地说明main函数的返回值，在这种情况下ANSI C规定该函数必须返回一个值： #include <stdio.h> int main () { printf ("hello, world\n") ; return 0 ; } 我们还可以包括main的参数，把程序弄得更长一些，但让我们暂且这样就好了－包括一个include声明、程序的进入点、一个对执行期链接库函数的呼叫和一个return语句。 同样效果的Windows程序 Windows关于「hello, world」程序的等价程序有和文字模式版本完全相同的组件。它有一个include声明、一个程序进入点、一个函数呼叫和一个return语句。下面便是该程序： /*------------------------------------------------------------------ HelloMsg.c -- Displays "Hello, Windows 98!" in a message box (c) Charles Petzold, 1998 --------------------------------------------------------------------*/ #include <windows.h> int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance, PSTR szCmdLine, int iCmdShow) { MessageBox (NULL, TEXT ("Hello, Windows 98!"), TEXT ("HelloMsg"), 0); return 0 ; } 在剖析该程序之前，让我们看一下在Visual C++ Developer Studio中建立新程序的方式。 首先，从File菜单中选New。在 New对话框中，单击Projects页面标签，选择 Win32 Application。在Location栏中，选择一个子目录，在 Project Name栏中，输入该项目的名称，此时该名称是HelloMsg，这便是在 Location栏中显示的目录的子目录。Create New Workspace复选框应该勾起来，Platforms部分应该显示 Win32，选择OK。 将会出现一个标题为Win32 Application - Step 1 Of 1的对话框，指出要建立一个Empty Project，并按下Finish按钮。 从File菜单中再次选择New。在 New对话框中，选择Files页面标签，选择 C++ Source File。Add To Project复选框应被选中，并应显示HelloMsg。在 File Name栏中输入HelloMsg.c，选中OK。 现在您可输入上面所示的HELLOMSG.C文件，您也可以选择Insert菜单和 File As Text选项从本书附带的CD-ROM上复制HELLOMSG.C的内容。 从结构上说，HELLOMSG.C与K&R的「hello,world」程序是相同的。表头文件STDIO.H已被WINDOWS.H所代替，进入点main被WinMain所代替，而且C语言执行时期链接库函数printf被Windows API函数MessageBox所代替。然而，在程序中有许多新东西，包括几个陌生的大写标识符。 让我们从头开始。 表头文件 HELLOMSG.C以一个前置处理器指示命令开始，实际上在每个用C编写的Windows程序的开头都可看到：

windows 程序设计中文版

第1部分 基础知识 　　第1章 起步 　　1.1 Windows环境 　　1.1.1 Windows简史 　　1.1.2 Windows的方方面面 　　1.1.3 动态链接 　　1.2 Windows编程选项 　　1.2.1 API及内存管理模式 　　1.2.2 语言选择 　　1.2.3 编程环境 　　1.2.4 API文档 　　1.3 你的第一个Windows程序 　　1.3.1 字符模式 　　1.3.2 Windows对应程序 　　1.3.3 头文件 　　1.3.4 程序入口 　　1.3.5 MessageBox函数 　　1.3.6 编译、链接及运行 　　第2章Unicode简介 　　2.1 字符集简史 　　2.1.1 美国标准 　　2.1.2 美国以外的世界 　　2.1.3 扩展ASCII 　　2.1.4 双字节字符集 　　2.1.5 Unicode的解救方案 　　2.2 宽字符和c语言 　　2.2.1 char数据类型 　　2.2.2 更宽的字符 　　2.2.3 宽字符库函数 　　2.2.4 维护一个源代码文件 　　2.3 宽字符和Windows 　　2.3.1 Windows头文件的类型 　　2.3.2 Windows函数调用 　　2.3.3 Windows的字符串函数 　　2.3.4 在Windows中使用printf 　　2.3.5 格式化的消息框 　　2.3.6 国际化之于本书 　　第3章 窗口与消息 　　3.1 窗口的创建 　　3.1.1 系统结构概述 　　3.1.2 HELLOWIN程序 　　3.1.3 通盘考虑 　　3.1.4 窗口类的注册 　　3.1.5 窗口的创建 　　3.1.6 窗口的显示 　　3.1.7 消息循环 　　3.1.8 窗口过程 　　3.1.9 消息的处理 　　3.1.10 声音文件的播放 　　3.1.11 WM_PAINT消息 　　3.1.12 WM_DESTROY消息 　　3.2 Windows编程中的若干难点 　　3.2.1 究竟是谁调用谁 　　3.2.2 队列消息和非队列消息 　　3.2.3 速战速决 　　第4章 文本输出 　　4.1 绘制和重绘 　　4.1.1 WM_PAINT消息 　　4.1.2 有效矩形和无效矩形 　　4.2 GDI简介 　　4.2.1 设备环境 　　4.2.2 获取设备环境句柄：方法一 　　4.2.3 绘制信息结构 　　4.2.4 获取设备环境句柄：方法二 　　4.2.5 TEXTOUT函数详解 　　4.2.6 系统字体 　　4.2.7 字符大小 　　4.2.8 文本尺寸的度量 　　4.2.9 文本的格式化 　　4.2.10 综合使用 　　4.2.11 SYSMETSl.C窗口过程 　　4.2.12 空间不够 　　4.2.13 客户区的尺寸 　　4.3 滚动条 　　4.3.1 滚动条的范围和位置 　　4.3.2 滚动条消息 　　4.3.3 加入滚动条的SYSMET 　　4.3.4 程序的绘制代码的结构 　　4.4 效果更好的滚动 　　4.4.1 滚动条信息函数 　　4.4.2 最远可以卷动到哪里? 　　4.4.3 新的SYSMETS 　　4.4.4 可我不想用鼠标 　　第5章 绘图基础 　　5.1 GDI的结构 　　5.1.1 GDI原理 　　5.1.2 GDI函数调用 　　5.1.3 GDI的基本图形 　　5.1.4 其他 　　5.2 设备环境 　　5.2.1 获取设备环境句柄 　　5.2.2 获取设备环境的信息 　　5.2.3 DEVCAPSl程序 　　5.2.4 设备的尺寸 　　5.2.5 色彩ABC 　　5.2.6 设备环境属性 　　5.2.7 保存设备环境 　　5.3 点和线的绘制 　　5.3.1 设定像素 　　5.3.2 直线 　　5.3.3 边框绘制函数 　　5.3.4 贝塞尔样条曲线 　　5.3.5 使用现有画笔 　　5.3.6 创建、选择和删除画笔 　　5.3.7 填充空隙 　　5.3.8 绘图模式 　　5.4 绘制填充区域 　　5.4.1 Polygon函数和多边形填充模式 　　5.4.2 用画刷填充内部 　　5.5 GDI映射模式 　　5.5.1 设备坐标和逻辑坐标 　　5.5.2 设备坐标系统 　　5.5.3 视口和窗口 　　5.5.4 使用MMTEXT 　　5.5.5 度量映射模式 　　5.5.6 自定义的映射模式 　　5.5.7 WHATSIZE程序 　　5.6 矩形、区域和剪裁 　　5.6.1 处理矩形 　　5.6.2 随机矩形 　　5.6.3 建立和绘制区域 　　5.6.4 矩形与区域的剪裁 　　5.6.5 CLOVER程序 　　第6章 键盘 　　6.1 键盘基础 　　6.1.1 忽略键盘 　　6.1.2 谁获得了焦点?