hyper-v用途的問題，透過圖書和論文來找解法和答案更準確安心。 我們找到下列懶人包和總整理

開源安全運維平台OSSIM疑難解析（入門篇）

為了解決hyper-v用途的問題，作者李晨光 這樣論述：

OSSIM（Open Source Security Information Management，開源安全資訊管理）系統是一個非常流行和完整的開源安全架構體系，通過將開源產品進行集成，從而提供一種能實現安全監控功能的基礎平臺。 《開源安全運維平臺OSSIM疑難解析：入門篇》精選了作者在OSSIM日常運維操作中遇到的許多疑難問題，並給出了相應的解決方案。本書共分為10章，內容包括SIEM與網路安全態勢感知、OSSIM部署基礎、安裝OSSIM伺服器、OSSIM系統維護與管理、OSSIM組成結構、感測器、外掛程式處理、SIEM控制台操作、視覺化報警以及OSSIM資料庫等。   《開源安全運維平臺

OSSIM疑難解析：入門篇》適合具有一定SIEM系統實施經驗的技術經理或中運維工程師閱讀，還可以作為開源技術研究人員、網路安全管理人員的參考資料。 李晨光 OSSIM佈道師、網路架構師、UNIX/Linux系統安全專家、中國電腦學會會員。他寫作的《Linux企業應用案例精解》《UNIX/Linux網路日誌分析與流量監控》《開源安全運維平臺OSSIM實踐》在圖書市場上具有相當搶眼的表現與上佳口碑，且中文繁體字版本也被輸出到中國臺灣。 李晨光先生還是51CTO、ChinaUnix、OSchina等社區的專家博主，撰寫的技術博文被國內各大IT技術社區廣泛轉載，還曾多次受邀在國內

系統架構師大會和網路資訊安全大會上發表技術演講。 第1章　SIEM與網路安全態勢感知 1 Q001　什麼是SIEM？ 1 Q002　SIEM處理流程是什麼？ 1 Q003　SIEM基本特徵分為幾個部分，技術門檻是什麼，有哪些商業產品？ 2 Q004　SIEM中的安全運維模組包含哪些主要內容？ 3 Q005　為什麼要選擇OSSIM作為運維監控平臺？ 4 Q006　在OSSIM架構中為何要引入威脅情報系統？ 8 Q007　在OSSIM中OTX代表什麼含義？ 9 Q008　為什麼要對IP進行信譽評級？ 9 Q009　如何啟動OTX功能？ 9 Q010　如何手動更新IP信譽資料並查

看這些資料？ 11 Q011　如何讀懂IP信譽資料庫的記錄格式？ 11 Q012　為什麼在流覽器中無法顯示由穀歌地圖繪製的AlienVaultIP信譽資料？ 12 Q013　OSSIM使用的Google Maps API在什麼位置？ 12 Q014　在OSSIM系統中成功添加OTX key之後，為何儀錶盤上沒有顯示？ 12 Q015　將已申請的OTX key導入OSSIM系統時，為何提示連接失敗？ 13 Q016　外部威脅情報和內部威脅情報分別來自何處？ 14 Q017　如何利用OSSIM系統內置的威脅情報識別網路APT攻擊事件？ 15 Q018　OpenSOC的組成結構和主要功能是什麼，它和

OSSIM之間的區別是什麼？ 15 Q019　Apache Metron是新生代的OpenSOC嗎？部署難度大嗎？ 17 第2章　OSSIM部署基礎 20 Q020　OSSIM主要版本的演化過程是怎樣的？ 20 Q021　如何關閉和重啟OSSIM？ 23 Q022　OSSIM屬於大資料平臺嗎？ 24 Q023　OSSIM能作為堡壘機使用嗎？ 24 Q024　堡壘機的Syslog日誌能否轉發至OSSIM統一存儲？ 25 Q025　OSSIM平臺屬於CPU密集型、I/O密集型還是記憶體密集型系統？ 25 Q026　OSSIM平臺開發了哪些專屬程式？ 26 Q027　Kali Linux和OSSI

M有什麼區別？ 27 Q028　安裝OSSIM伺服器元件時是否包含了感測器元件？ 28 Q029　OSSIM能否安裝在XEN或KVM虛擬化系統上？ 29 Q030　OSSIM如何處理海量資料？ 29 Q031　OSSIM是基於Debian Linux開發的，能否將其安裝在其他Linux發行版本上，例如RHAS、CentOS、SUSE Linux？ 29 Q032　分散式OSSIM系統感測器如何部署？ 29 Q033　OSSIM可輸出的報表有哪些類型？ 30 Q034　在OSSIM 3中通過什麼技術可實現報表預覽功能？ 31 Q035　OSSIM企業版中可輸出哪些類型的報表？ 31 Q036　O

SSIM能否用於APT和ShellCode高級攻擊檢測？ 32 Q037　如何部署分散式OSSIM平臺？ 34 Q038　OSSIM系統中哪些服務是單執行緒，哪些服務是多執行緒？ 34 Q039　如何查看ossim-agent進程正在調用的檔？ 35 Q040　在分散式環境中如何添加感測器？ 36 Q041　為何新添加的感測器在Web UI上無法顯示NetFlow流？ 38 Q042　如何查看某個進程打開了哪些檔？ 41 Q043　如何監聽系統中某個使用者的網路活動？ 41 Q044　OSSIM經過防火牆時，需要打開哪些埠？ 42 第3章　安裝OSSIM伺服器 45 Q045　如何通過U盤安

裝OSSIM系統？ 45 Q046　如何克隆OSSIM虛擬機器以及為虛擬機器設置克隆？ 45 Q047　在安裝OSSIM時，命令列下面的提示資訊保存在什麼位置？ 47 Q048　執行alienvault-update命令升級後，為什麼原來的配置會被覆蓋？ 48 Q049　執行alienvault-update命令升級之後，快取檔案如何清除？ 48 Q050　如何選擇OSSIM伺服器？ 48 Q051　安裝OSSIM時能識別硬碟，但無法識別網卡，該如何處理？ 49 Q052　選擇OSSIM伺服器硬體時，需要注意些什麼問題？ 49 Q053　安裝OSSIM時需要插網線嗎？ 50 Q054　初裝OS

SIM時僅配置了單塊網卡，後期需要再新增一塊網卡，該如何操呢？ 50 Q055　安裝OSSIM時需要選擇多核CPU還是單核CPU？CPU內核的數量越多越好嗎？ 51 Q056　如何為OSSIM伺服器/感測器選擇網卡？ 51 Q057　OSSIM為何只能識別出2TB以內的硬碟？ 52 Q058　如何在OSSIM下安裝GCC編譯工具？ 52 Q059　如何手動載入網卡驅動？ 52 Q060　在虛擬機器下安裝OSSIM結束後重啟系統，結果系統一直停在啟動介面，這該如何處理？ 53 Q061　OSSIM安裝完成後，如何設置Web UI來初始化設置嚮導？ 53 Q062　如何通過CSV格式的檔導入多個網

段資訊？ 58 Q063　如何通過檔導入網路資產？ 59 Q064　在OSSIM配置嚮導中，報告無法找到網段內的伺服器，該如何處理？ 60 Q065　如何再次調出Web UI初始化配置嚮導？ 60 Q066　如果跳過了Web配置嚮導，如何通過Web介面安裝OSSEC Agent？ 61 Q067　在Hyper-V 3.0中安裝OSSIM 5.4時，在Suricata配置過程中“卡住了”該如何處理？ 62 Q068　如何查看OSSIM的GRUB程式版本？ 63 Q069　OSSIM系統中的IPMI服務有什麼作用？為什麼在虛擬機器啟動OSSIM時會遇到IPMI服務啟動失敗的問題？ 63 Q070　

如採用要混合式安裝方式來安裝OSSIM，在安裝介面中應選擇哪一項？ 64 Q071　如何進入OSSIM高級安裝模式？ 64 Q072　在虛擬機器下安裝OSSIM時無法找到磁片，應如何處理？ 65 Q073　在VMware虛擬機器環境中，如何為OSSIM安裝VMware Tools增強工具？ 65 Q074　初學者如何正確選擇虛擬機器版本？ 67 Q075　如何嗅探虛擬機器流量？ 68 Q076　在VMware ESXi虛擬機器環境中安裝OSSIM時應注意哪些內容？ 69 Q077　遺忘Web UI登錄密碼後如何將其恢復？ 70 Q078　如何在Hyper-V虛擬機器下安裝OSSIM？ 71 Q

079　在Hyper-V虛擬機器中如何嗅探網路流量？ 77 Q080　採用筆記型電腦安裝OSSIM時，如何防止其休眠？ 77 Q081　如何將負載分攤在多個感測器上？ 78 Q082　為什麼不建議通過USB設備安裝OSSIM系統？ 79 Q083　為什麼在安裝OSSIM 5的過程中不提示用戶分區？ 79 Q084　虛擬機器環境下常見的OSSIM安裝錯誤有哪些？ 80 第4章　OSSIM系統維護與管理 87 Q085　如何離線升級OSSIM？ 87 Q086　如何通過代理伺服器升級系統？ 87 Q087　OSSIM升級過程中出現的Ign、Hit、Get分別代表什麼含義？ 88 Q088　在OS

SIM中，update和upgrade參數有何區別？ 88 Q089　如何確保分散式OSSIM系統的安全？ 89 Q090　若在OSSIM伺服器上啟用SELinux服務，後果會如何？ 90 Q091　OSSIM儀錶盤典型視圖分為幾類，各有何特點？ 90 Q092　通過OSSIM 4.3能直接升級到OSSIM 5.4嗎？ 92 Q093　如何定制OSSIM系統的啟動畫面？ 92 Q094　OSSIM系統中的server.log日誌檔有什麼作用？如果此檔增漲到10GB以上，該如何處理？ 92 Q095　apt-get的常見用途有哪些？ 93 Q096　OSSIM中的IDM表示什麼含義？如何啟動ID

M服務？ 94 Q097　開源OSSIM系統所使用的檔案系統是什麼，有什麼局限性？ 94 Q098　當OSSIM的資料庫受損時，如何恢復OSSIM？ 95 Q099　為什麼在OSSIM 3.1系統上輸入ossim-update命令進行升級後OCS模組會消失？ 96 Q100　OSSIM消息中心為什麼總顯示互聯網連接中斷？ 97 Q101　OSSIM系統的套裝軟體中包含amd64字樣，這表示什麼含義？ 97 Q102　如何將Tickets加入知識庫？ 98 Q103　如何管理OSSIM系統服務？ 100 Q104　OSSIM系統當使用alienvault-update升級後.deb文件位於何處？

升級過程中報錯怎麼辦？ 101 Q105　如何校驗已安裝的Debian套裝軟體？ 101 Q106　OSSIM下有什麼好用的包管理器嗎？ 102 Q107　在OSSIM系統中如何分配tmpfs檔案系統的大小？ 103 Q108　OSSIM系統如何同步時間？ 103 Q109　如何通過刪除日誌的方式來釋放OSSIM平臺上的磁碟空間？ 103 Q110　如何檢測OSSIM系統整體的健康狀態？ 105 Q111　如何記錄Web UI中SQL查詢日誌資訊的情況？這些內容在何處？ 105 Q112　如何禁止系統向root使用者發送電子郵件？ 105 Q113　可使用什麼命令來查詢UUID號？ 106 Q

114　智慧移動終端如何訪問OSSIM？ 106 Q115　如何修改OSSIM登錄的超時時間？ 107 Q116　如何調整OSSIM系統管理員的密碼登錄策略？ 108 Q117　如何允許/禁止root通過SSH登錄OSSIM系統？ 108 Q118　如何安裝Gnome和Fvwm桌面環境？ 108 Q119　如何進入OSSIM系統的單使用者模式？ 108 Q120　忘記root密碼怎麼辦？ 110 Q121　在分散式OSSIM系統環境中如何啟動和關閉系統？ 111 Q122　如何設置郵件報警 112 Q123　如何校驗OSSIM中安裝的套裝軟體？ 113 Q124　在使用apt-get inst

all安裝軟體的過程中強行中斷安裝，結果下次再執行安裝腳本時報告資料庫錯誤，這該如何解決？ 113 Q125　使用apt-get install安裝程式時遇到了“Could not get lock/var/lib/dpkg/lock”提示，這是由於什麼原因造成的？ 114 Q126　OSSIM系統中/var/run/目錄下的pid檔有什麼作用？ 114 Q127　如何更改OSSIM預設的網路介面？ 115 Q128　在OSSIM系統中如何尋找和終止僵屍進程（zombie）？ 115 Q129　OSSIM在哪些地方會消耗大量記憶體？ 116 Q130　如何查看admin使用者活動的詳細資訊？

116 Q131　如何查看當前登錄到OSSIM系統中的使用者的Session ID？ 117 Q132　如何將本地光碟設置為軟體源？ 118 Q133　當使用crontab ?Ce編輯時，無法退出編輯環境，這如何處理？ 118 Q134　如何開啟OSSIM的Cron日誌？ 119 Q135　UUID在OSSIM系統中有什麼用途？ 119 Q136　OSSIM中如何安裝X-window環境 120 Q137　OSSIM如何防止關鍵進程停止？ 121 Q138　OSSIM會將資訊發送到外網嗎？ 121 Q139　OSSIM平臺如何修復包的依賴關係？ 123 Q140　異常關機會對OSSIM平臺產生

哪些影響？ 123 Q141　刪除OSSIM系統裡的檔時，磁碟空間不釋放應如何處理？ 124 Q142　如何手動修改伺服器IP地址？ 124 Q143　如何消除終端控制台上的登錄功能表？ 124 Q144　在低版本的OSSIM中，如何讓控制台支持高解析度？ 125 Q145　如何查看防火牆規則？ 125 Q146　如何解決時間不同步的問題？ 126 Q147　OSSIM在最後的安裝階段為什麼會停滯不前？ 126 Q148　如何配置OSSIM伺服器與感測器之間的VPN連接？ 127 Q149　如何重裝感測器？ 129 Q150　如何安裝並配置多個感測器？ 129 Q151　如何為OSSIM安裝W

ebmin管理工具？ 135 Q152　如何為OSSIM安裝phpMyAdmin工具？ 137 Q153　感測器中用於抓包的網卡需要分配IP嗎？ 139 Q154　如何將HTTP重定向為HTTPS訪問？ 139 Q155　在OSSIM的Web UI登錄介面中，在登錄驗證前用戶名和密碼是如何加密的？ 139 Q156　在OSSIM登錄介面中如何實現使用者Session登錄驗證的安全性？ 140 Q157　如何定制Apache 404頁面？ 140 Q158　OSSIM系統每次啟動時為什麼顯示“apache2 [warn] NameVirtualHost *:80 has noVirtualHos

ts”？ 140 Q159　Apache中出現“Could not reliably determine the server’s fully qualified domain name”提示時，應如何處理？ 141 Q160　遷移OSSIM系統時需要備份哪些資料？ 141 Q161　在OSSIM中，PCI DSS和ISO 27001代表什麼含義？ 142 Q162　如何輸出30天內的資產可用性報告？ 143 Q163　如何使用grep命令去掉設定檔的注釋行和空格行？ 143 Q164　如何生成一個指定大小的檔？ 144 Q165　如何在伺服器/感測器中發現隱藏的進程或埠？ 144 Q166　

如何解決因系統索引節點（inode）耗盡而引發的系統故障？ 145 Q167　OSSIM系統是如何實現高可用性的？ 147 Q168　OSSIM伺服器如何橫向擴展？ 151 第5章　OSSIM組成結構 157 Q169　OSSIM開源框架的分層處理架構是什麼？ 157 Q170　OSSIM系統框架中各模組的工作流程是怎樣的？ 158 Q171　OSSIM採用模組化架構的優勢是什麼？ 160 Q172　根據OSSIM部署圖來分析OSSIM多層體系結構是怎樣的？ 161 Q173　如果分散式OSSIM系統的感測器出現問題，會影響哪些模組的工作？ 162 Q174　OSSIM的工作流程包括哪些內容

？ 162 Q175　設定檔/etc/ossim/ossim_setup.conf中記錄了哪些內容？ 163 Q176　感測器上的採集外掛程式與監控外掛程式有什麼區別？ 163 Q177　OSSIM免費版和商業版有哪些主要區別？ 166 Q178　OSSIM中的SPADE有什麼作用？ 167 Q179　OSSIM代理的作用是什麼？ 168 Q180　代理與外掛程式有什麼區別？ 169 Q181　Framework有什麼作用，如何查看其工作狀態？ 169 Q182　修改OSSIM伺服器設定檔config.xml後如何重新開機引擎？ 170 Q183　Agent程式採集的日誌中的各個欄位表示什麼含

義？ 170 Q184　在混合式OSSIM伺服器模式與感測器安裝模式中，它們安裝的包有哪些區別？ 171 Q185　OSSIM伺服器和感測器的通訊連接埠有哪些，其作用是什麼？ 173 Q186　如何增刪系統的資料來源外掛程式？ 175 Q187　如何列出OSSIM分散式系統的活動代理資訊？ 175 Q188　如何將SIEM中顯示的攻擊日誌添加到資料來源組中？ 175 Q189　如何使用Tickets？ 176 Q190　Alarms與Tickets有什麼區別？ 177 Q191　在OSSIM報警中對網路攻擊模式如何分類？ 178 Q192　Ansible使用什麼協定通信？ 180 Q193　S

SH和Ansible服務在OSSIM中起到什麼作用？ 180 Q194　如何建立基於OpenSSL的安全認證中心？ 182 Q195　如何在OSSIM中設置VPN連接？ 183 Q196　OSSIM中定義的未授權行為包括哪些？ 185 第6章　感測器 187 Q197　OSSIM感測器的作用是什麼，如何查看感測器的狀態？ 187 Q198　當感測器發生故障時能否查詢感測器上載入外掛程式的狀態？ 187 Q199　感測器能以串聯方式部署在網路中嗎？ 189 Q200　如何通過感測器掃描資產？ 189 Q201　如何查看分散式系統的感測器狀態？ 189 Q202　如何讓Ansible獲取遠端主機

執行時間、線上使用者及平均負載資訊？ 191 Q203　如何通過Ansible將腳本分發到遠端主機並執行？ 192 Q204　為何會出現感測器刪除失敗的情況？ 193 Q205　OSSIM消息中心將資料來源分為幾類，它們的含義是什麼？ 193 第7章　外掛程式處理 198 Q206　OSSIM中的資料來源外掛程式如何將日誌轉換為安全事件，以實現統一存儲？ 198 Q207　OSSIM代理如何將採集的日誌發送到OSSIM伺服器？ 200 Q208　OSSIM採用什麼技術來解決網路設備的日誌格式不統一的問題？ 201 Q209　OSSIM中安全事件的標準格式是什麼？ 201 Q210　OSSIM

Agent的外掛程式採集日誌流程是什麼？ 203 Q211　在Apache外掛程式中如何定義Apache訪問日誌的規則運算式？如何通過腳本檢測外掛程式？ 206 Q212　經過OSSIM資料來源外掛程式歸一化之後的日誌存儲在什麼位置？ 206 Q213　編寫日誌外掛程式分幾個步驟？ 208 Q214　在OSSIM系統中如何導入檢測外掛程式？ 209 Q215　OSSIM採集外掛程式分為幾大類，它們通過什麼協定採集資料？ 209 Q216　外掛程式進程ossim-agent被手動停止後之後為何會自己重啟？ 211 Q217　在OSSIM感測器中能同時啟用Snort和Suricata外掛程式嗎？

211 Q218　如何導入自訂外掛程式？ 212 第8章　SIEM控制台操作 217 Q219　如何把SIEM控制台中發現的重要日誌加入到知識庫？ 217 Q220　如何為知識庫的條目新增附件？ 219 Q221　在SIEM控制台事件中查看視圖時有幾種觀察模式，它們有什麼區別？ 220 Q222　如何在SIEM警報中顯示電腦名？ 221 Q223　在SIEM控制台事件的表單中，N/A表示什麼意思？ 222 Q224　如何設定SIEM事件的保存期限？ 222 Q225　如何恢復SIEM事件資料庫？ 223 Q226　SIEM控制台上包含哪些重要元素？ 223 Q227　如何在SIEM事件控制

台中過濾事件？ 227 Q228　如何將高風險的事件進行快速分類？ 233 Q229　如何刪除與恢復安全事件？ 234 Q230　SIEM控制台中顯示的事件存儲在什麼地方？ 234 Q231　如何在Web頁面清理SIEM資料庫中的事件？ 235 Q232　為什麼不能跨VLAN顯示伺服器的FQDN名稱？ 236 Q233　SIEM日誌顯示中出現的0.0.0.0位址表示什麼含義？ 236 Q234　無法顯示SIEM安全事件時應如何處理？ 237 Q235　SIEM資料來源與外掛程式之間有何聯繫？ 237 Q236　什麼是AVAPI事件？如何過濾AVAPI事件？ 238 Q237　在OSSIM We

b UI中出現的EPS參數表示什麼含義？ 241 第9章　視覺化報警 243 Q238　如何產生報警事件？ 243 Q239　OSSIM中將報警事件分為幾類，分別表示什麼含義？ 244 Q240　如何通過Alarm快速識別網路攻擊？ 248 Q241　報警分組有什麼作用？ 251 Q242　如何通過X-Scan工具來觸發OSSIM報警？ 252 Q243　如何採用Armitage對目標主機進行滲透測試？ 253 Q244　如何通過Metasploit挖掘Windows XP的MS08-067漏洞？ 258 Q245　如何通過OSSIM實現SSH登錄失敗報警？ 262 Q246　如何區別IDS

的誤報與漏報？ 265 Q247　如何設置SSH登錄報警策略？ 266 Q248　OSSIM如何感知SSH暴力破解攻擊？ 268 第10章　OSSIM資料庫 273 Q249　OSSIM資料庫有哪幾種，各有什麼作用？ 273 Q250　採用SecureCRT訪問資料庫時出現亂碼，這是什麼原因引起的，如何 避免？ 275 Q251　MySQL資料庫許可權的存儲機制是什麼？ 276 Q252　如何讓OSSIM中的MySQL資料庫支援遠端存取？ 278 Q253　如何通過phpMyAdmin資料庫解決“Access denied for user 'root'@'localhost'（using

password:YES）”報錯問題？ 280 Q254　採用phpMyAdmin訪問資料庫時為什麼會出現亂碼？ 282 Q255　如何在OSSIM伺服器上訪問資料庫？常見的資料庫操作命令包含哪些？ 282 Q256　如何分屏顯示alienvault.alarm表中的內容？ 283 Q257　如何查看OSSIM資料庫的大小？ 283 Q258　OSSIM中的SQLite資料庫有什麼作用，它存儲在什麼位置？ 284 Q259　RRDTool與資料庫MySQL之間有什麼區別？ 284 Q260　如何將SQL檔插入到OSSIM資料庫中？ 284 Q261　如何把一個.sql.gz檔導入到資料庫中？

285 Q262　如何優化資料庫中的表？ 285 Q263　如何重置OSSIM資料庫？ 286 Q264　如何恢復OSSIM資料庫的出廠設置？ 287 Q265　影響OSSIM資料庫的性能因素有哪些？ 288 Q266　如何利用MySQLReport監控資料庫性能？ 288 Q267　如何設定OSSIM資料庫的自動備份時間？在什麼位置查看備份資料？ 289 Q268　/etc/ossim/server/config.xml設定檔記錄了哪些關鍵資訊？ 290 Q269　OSSIM系統中出現“MySQL:ERROR 1040:Too many connections”報錯提示時如何處理？ 291

Q270　如何用mytop監控MySQL資料庫？ 292 Q271　如何遠端匯出OSSIM資料庫的表結構？ 293 Q272　在使用ossim-db命令時出現“Access denied for user 'root'@'localhost'（using password:NO）”提示，該如何解決？ 293 Q273　如何類比負載？ 294 Q274　當MySQL進程的CPU使用率過高時，如何優化？ 294 Q275　如何啟動OSSIM資料庫的慢查詢日誌？ 295 Q276　如何使用mysqldump完整備份OSSIM資料庫？ 296 Q277　如何用XtraBackup備份OSSIM資料庫？

296 Q278　如何用mysqlslap測試OSSIM資料庫？ 297 Q279　當OSSIM系統資料庫發生損壞時，如何重建資料庫？ 299 Q280　如何查看OSSIM系統的SIEM資料庫備份策略？ 299 Q281　OSSIM系統出現acid表錯誤時如何處理？ 299 Q282　升級過程中資料庫表意外損壞，該如何修復？ 300 Q283　如何清理OSSIM資料庫？ 301 Q284　存儲在資料庫中的資產IP位址被加密了嗎，如何查看該IP地址呢？ 302 Q285　OSSIM系統中的Active Event Window（days）表示什麼含義，該值設定為多大比較合適？ 302 Q286

　如何顯示acid_event表中的前5條記錄？ 303 Q287　為OSSIM添加擴展資料庫時出現連接資料庫錯誤，該如何處理？ 303 Q288　如何通過MONyog工具監控MySQL伺服器？ 304 Q289　日誌中的IP位址在資料庫中採用何種形式存儲？ 306 Q290　如何通過MySQL Workbench連接OSSIM資料庫？ 307 附錄1　主要設定檔注釋 315 附錄2　OSSIM 5 Web介面功能表功能注釋 316 附錄3　終端控制台程式注釋 319 附錄4　關鍵字匯英漢對照 321

深入解析Windows操作系統.下冊（第6版）

為了解決hyper-v用途的問題，作者（美）馬克·拉希諾維奇（美）大衛·A.所羅門（美）艾力克斯·伊納蘇 這樣論述：

本書是Windows技術權威參考書的最新版本，本書主要介紹了基於Windows 7 and Windows Server 2008 R2的核心技術與底層技術，全面闡釋Windows技術機理，是廣大Windows開發人員必備的參考書。 Mark Russinovich（馬克·拉希諾維奇）是微軟windows Azure組技術人員，是Sysinternals工具的作者之一，合著了《深入解析Windows作業系統》系列圖書；David A.Solomon（大衛·A.所羅門）是《深入解析Windows作業系統》系列圖書的合著者，並為全球成千上萬的開發人員和IT專業人士，包括微軟員

工，講授Windows內幕課程。他時常在微軟舉辦的會議中發言，包括TechNet和PDC。 范德成，2004年畢業于上海交通大學，在微軟和 SAP公司有多年專案經驗，構建了微型開源專案Robbie’s Shell。   潘愛民，任職于阿裡巴巴，長期從事軟體和系統技術的研究與開發工作，撰寫了大量軟體技術文章，著譯了多部經典計機圖書，在國內外學術刊物上發 表了30多篇文章。曾經任教於北京大學和清華大學（兼職），後進入工業界，先後任職于微軟亞洲研究院、盛大網路發展有限公司和阿裡雲計算有限公司，目前也 是工信部移動作業系統專家組成員。潘愛民先生獲得了數學學士學位和電腦科學博士學位，主要研究領域包括軟

體設計、資訊安全、作業系統和互聯網技術。 第8章 I／O系統1 8.1I／O系統元件1 I／O管理器3 典型的I／O處理過程4 8.2設備驅動程式5 設備驅動程式的類型5 WDM驅動程式6 分層的驅動程式7 實驗：查看已載入的驅動程式清單9 驅動程式的結構11 驅動程式物件和設備物件13 實驗：看一看設備物件15 實驗：顯示驅動程式和設備物件17 打開設備18 實驗：查看設備控制碼21 實驗：查看Windows設備名稱之間的映射23 8.3I／O處理24 I／O類型24 同步I／O和非同步I／O24 快速I／O25 實驗：查看一個驅動程式登記的快速I／O常式25 映射文件I

／O和文件緩存26 分散／聚集I／O27 I／O請求包27 IRP棧單元28 實驗：查看驅動程式的分發常式29 實驗：查看一個執行緒的未完成IRP29 IRP緩衝區管理30 針對單層驅動程式的I／O請求32 為一個中斷提供服務33 完成一個I／O請求34 同步36 針對分層的驅動程式的I／O請求38 實驗：查看一個設備棧39 實驗：查看IRP40 執行緒無關I／O45 I／O取消45 用戶發起的I／O取消46 執行緒終止時的I／O取消47 實驗：調試一個無法被殺死的進程48 I／O完成埠49 IoCompletion對象50 使用完成埠50 I／O完成埠操作52 I／O優先順序支持54 I／O

優先順序54 優先化策略55 I／O優先順序反轉的避免（I／O優先順序繼承）57 I／O優先順序提升和撞升57 實驗：“非常低”和“正常”I／O輸送量的對比58 實驗：I／O優先順序提升／撞升的性能分析59 頻寬預留（計畫的檔I／O）60 容器通知60 驅動程式檢驗器（DriverVerifier）61 8.4核心模式驅動程式框架（KMDF）63 KMDF驅動程式的結構和操作64 實驗：顯示KMDF驅動程式65 KMDF資料模型66 KMDF的I／O模型69 8.5使用者模式驅動程式框架（UMDF）72 8.6隨插即用（PnP）管理器76 隨插即用支持的級別77 驅動程式對於隨插即用的支援77

驅動程式載入、初始化和安裝79 Start值80 設備列舉81 實驗：將設備樹轉儲出來84 設備棧85 設備棧的驅動程式載入86 實驗：在裝置管理員中查看詳細的devnode資訊88 驅動程式安裝90 實驗：檢查一個驅動程式的INF檔92 實驗：查看目錄（catalog）檔93 8.7電源管理器94 電源管理器的操作96 驅動程式的電源操作97 實驗：查看一個驅動程式的電源映射關係97 實驗：查看系統的電源能力和策略98 驅動程式和應用程式對於設備電源的控制100 電源可用性請求100 實驗：在調試器中查看一個電源可用性請求101 實驗：利用Powercfg查看電源可用性請求103 處理器電

源管理（PPM）103 核心停運的策略104 利用率函數105 實驗：查看利用率和頻率的資訊106 實驗：查看利用率和頻率的歷史107 演算法覆蓋108 增加／減少動作108 各種閾值和策略的設置109 實驗：查看當前的核心停運策略111 “性能檢查”演算法112 實驗：查看當前的PPM檢查資訊116 8.8本章總結118 第9章 存儲管理119 9.1有關存儲的術語119 9.2磁片設備120 旋轉磁片120 磁片的磁區格式120 固態硬碟122 NAND型快閃記憶體122 檔的刪除和irim命令124 9.3磁片驅動程式125 Winload125 磁片類、埠和小埠驅動程式126 iSC

SI驅動程式127 多路徑I／O（MPIO）驅動程式128 實驗：觀察物理磁片I／O130 磁片設備物件130 分區管理器131 9.4卷的管理132 基本磁片133 MBR風格的分區133 GPT（GUID分區表）分區方案133 基本磁片卷管理器134 動態磁片135 LDM資料庫135 實驗：使用LDMDump來查看LDM資料庫137 LDM和GPT或MBR風格的分區方案139 動態磁片的卷管理器140 多分區卷的管理140 跨距卷141 條帶卷142 實驗：觀察鏡像磁碟區的I／O操作143 RAID—5卷145 卷名字空間145 掛載管理器146 掛載點147 卷的掛載148 實驗：查看

VPB149 卷的I／O操作152 虛擬磁片服務153 9.5虛擬硬碟（VHD檔）支援155 附載VHD的操作156 嵌套的檔案系統156 9.6BitLocker驅動器加密157 加密金鑰159 可信平臺模組（TPM）161 BitLocker引導過程163 BitLocker金鑰的恢復165 全卷加密驅動程式166 BitLocker的管理167 BitLockerToGo168 9.7卷影像（shadow）拷貝服務170 影像拷貝170 “克隆”影像拷貝170 “寫時複製”影像拷貝170 VSS的架構170 VSS的操作171 影像拷貝提供者172 實驗：查看Microsoft影像拷貝提

供者的過濾型設備物件173 Windows中的用途174 備份174 實驗：查看影像卷的設備物件174 “之前的版本”和系統還原175 實驗：導航到“之前的版本”176 實驗：映射卷影像設備物件177 9.8本章總結178 第10章 記憶體管理179 10.1記憶體管理器簡介179 記憶體管理器元件180 內部同步181 檢查記憶體的使用情況182 實驗：查看系統記憶體信息182 10.2記憶體管理器提供的服務184 大頁面和小頁面185 保留頁面和提交頁面187 實驗：保留的頁面對比提交的頁面188 提交限額190 鎖住記憶體190 分配細微性191 共用記憶體和映射檔192 實驗：查看記

憶體映射檔193 保護記憶體194 “不可執行”頁面保護196 實驗：查看進程上的DEP保護199 軟體的資料執行保護200 寫時複製201 位址窗口擴展203 10.3核心模式堆（系統記憶體池）204 記憶體池的大小205 實驗：確定最大的池大小值206 監視記憶體池的使用208 實驗：診斷記憶體池洩漏210 快查表（Look—AsideList）211 實驗：查看系統的快查表212 10.4堆管理器212 堆的類型213 堆管理器結構214 堆同步215 低碎片堆215 堆的安全特性216 堆的調試特性217 pageheap218 容錯堆218 10.5虛擬位址空間的佈局結構219 x8

6位址空間的佈局結構221 實驗：檢查一個應用程式能否感知大位址空間222 x86系統位址空間的佈局結構223 x86會話空間224 實驗：查看會話224 實驗：查看會話空間的使用情況225 系統分頁表項目（PTE，PageTableEntry）226 實驗：查看會話空間的使用情況226 64位元位址空間佈局結構227 x64虛擬定址的限制230 Windowsx64的16TB限制231 動態的系統虛擬位址空間管理233 實驗：查詢系統虛擬位址的用量234 實驗：設置系統虛擬位址的限制值235 系統的虛擬位址空間配額236 使用者位址空間的佈局結構237 實驗：對使用者虛擬位址空間進行分析23

8 映射隨機化239 棧的隨機化240 堆的隨機化240 內核位址空間中的ASLR240 對安全性緩和措施的控制240 實驗：查看進程上的ASLR保護241 10.6地址轉譯241 x86虛擬位址轉譯242 頁目錄245 實驗：檢查頁目錄和PDE245 頁表和分頁表項目246 分頁表項目中硬體和軟體的“寫”位元247 頁面內的位元組248 地址轉譯快查緩衝區248 實體位址擴充（PAE）249 實驗：轉譯地址251 x64虛擬位址轉譯253 IA64虛擬位址轉譯254 10.7分頁錯誤處理255 無效PTE256 原型PTE258 頁面換入I／O259 衝突的分頁錯誤260 聚簇的分頁錯誤26

0 分頁檔261 實驗：查看系統分頁檔262 提交用量和系統提交限額263 提交用量和分頁檔的大小266 實驗：利用工作管理員來查看分頁檔使用量266 10.8棧268 用戶棧268 實驗：創建最大數量的執行緒268 內核棧269 實驗：觀察內核棧的使用量269 DPC棧270 10.9虛擬位址描述符270 進程的VAD271 實驗：查看虛擬位址描述符272 旋轉VAD272 10.10NUMA273 10.11記憶體區物件274 實驗：查看記憶體區物件275 實驗：查看控制區域277 10.12驅動程式檢驗器280 10.13頁面幀編號資料庫284 實驗：查看PFN資料庫287 頁面清單的動

態變化288 實驗：空閒清單和零頁面清單289 實驗：已修改列表和備用列表291 頁面優先順序296 實驗：觀察區分優先順序的備用列表298 已修改頁面寫出器299 PFN資料結構301 實驗：查看PFN項304 10.14實體記憶體的限制305 Windows客戶版本的限制306 32位元客戶的有效記憶體限制307 10.15工作集309 按需換頁309 邏輯預取器310 實驗：窺探預取文件內部312 實驗：觀察預取檔的讀和寫312 放置策略313 工作集管理314 實驗：查看進程工作集大小316 實驗：工作集與虛擬大小316 實驗：在調試器中查看工作集列表317 平衡集管理器和交換器318

系統工作集319 記憶體通知事件320 實驗：查看記憶體資源通知事件321 10.16主動式記憶體管理（Superfetch）322 各個元件322 跟蹤過程和日誌記錄324 場景325 頁面優先順序和重平衡326 魯棒性能328 RAM優化軟體329 ReadyBoost330 ReadyDrive331 統一緩存332 進程反射334 實驗：利用Preflect來觀察進程反射的行為336 10.17本章總結337 第11章 緩存管理器338 11.1緩存管理器的關鍵特性338 單個中心化的系統緩存339 記憶體管理器339 快取一致性339 虛擬塊緩存341 流式緩存機制341 對可恢

復檔案系統的支持341 11.2緩存的虛擬記憶體管理342 11.3緩存的大小344 緩存的虛擬大小344 緩存的工作集大小344 實驗：查看系統緩存的工作集345 緩存的物理大小345 11.4緩存的資料結構347 系統範圍的緩存資料結構347 實驗：查看系統緩存的工作集349 針對每個檔的緩存資料結構350 實驗：查看共用的和私有的緩存表353 11.5檔案系統介面355 從緩存中來回拷貝資料356 通過映射和鎖定介面進行緩存356 通過直接記憶體存取介面進行緩存357 11.6快速I／O357 11.7預讀（ReadAhead）和滯後寫（WriteBehind）359 智能預讀359 回

寫緩存（Write—BackCaching）和延遲寫（LazyWriting）361 實驗：觀察緩存管理器的活動情況362 禁止一個檔的延遲寫出行為367 強迫緩存被直寫（write—through）到磁片上367 刷新映射文件367 實驗：觀察緩存的刷新368 寫節流（WriteThrottling）369 實驗：查看寫節流參數370 系統執行緒370 11.8本章總結371 第12章 檔案系統372 12.1Windows檔案系統格式373 CDFS373 UDF374 FAT12、FAT16和FAT32374 exFAT377 NTFS377 12.2檔案系統驅動程式總體結構378 本

地FSD379 遠程FSD380 鎖定381 實驗：查看已註冊檔案系統的列表383 檔案系統操作387 顯式文件I／O388 記憶體管理器的修改頁面寫出器和映射頁面寫出器392 緩存管理器的延遲寫出器（LazyWriter）392 緩存管理器的預讀執行緒392 記憶體管理器的分頁錯誤處理器393 檔案系統過濾型驅動程式393 進程監視器393 實驗：查看進程監視器的過濾型驅動程式394 12.3診斷檔案系統的問題395 進程監視器的基本和高級模式395 實驗：在一個空閒系統上查看檔案系統的活動395 進程監視器診斷技巧396 12.4公用日誌檔案系統397 列集操作397 日誌的類型398 日

誌的佈局結構400 日誌序號401 日誌塊401 所有者頁面402 虛擬LSN到物理LSN的轉譯403 管理策略404 12.5NTFS設計目標和特性404 高端（High—End）檔案系統的需求404 可恢復性405 安全性405 資料冗余和容錯能力405 NTFS的高級特性406 多資料流程406 實驗：查看資料流程408 基於Unicode的名稱408 通用的索引設施409 動態的壞簇重新映射409 硬連結（link）和交接（junction）409 實驗：創建一個硬連結410 符號（軟）連結和交接（junction）410 實驗：創建一個符號連結412 壓縮檔和稀疏文件412 變化日誌

413 針對每個用戶的卷配額413 連結跟蹤414 加密415 POSIX支持416 磁碟重組416 動態分區417 12.6NTFS檔案系統驅動程式419 12.7NTFS在磁片上的結構421 卷（volume）421 簇（cluster）422 主檔案表格（MFT）423 實驗：查看NTFS信息425 檔記錄號426 檔記錄426 檔案名429 隧道傳輸431 駐留的和非駐留的屬性432 資料壓縮和稀疏文件435 壓縮稀疏資料435 壓縮非稀疏資料437 稀疏文件439 變化日誌檔439 實驗：讀取變化日誌441 索引442 對象ID444 配額跟蹤444 統一的安全性445 重解析點44

7 事務支援447 隔離性448 實驗：理解和管理事務449 事務型API450 資源管理器451 實驗：查詢資源管理器的資訊452 磁片上的實現453 日誌的實現454 恢復的實現455 12.8NTFS的恢復支持455 設計456 中繼資料日誌記錄457 日誌檔服務（LFS）457 日誌記錄類型459 恢復461 分析掃描（AnalysisPass）462 重做掃描（RedoPass）463 撤銷掃描（UndoPass）463 NTFS的壞簇恢復465 自我修復468 12.9加密檔案系統（EFS）安全性469 第一次加密一個檔472 加密檔資料473 解密過程474 加密檔的備份474

實驗：查看EFS信息475 加密檔的複製475 12.10本章總結476 第13章 啟動和停機477 13.1引導過程477 BIOS引導準備477 BIOS引導磁區和Bootmgr481 UEFI引導過程495 從iSCSI引導496 初始化內核和執行體子系統497 實驗：載入器參數塊497 Smss、Csrss和Wininit504 未完成的檔重命名操作507 ReadyBoot509 自動啟動的映射檔510 實驗：Autoruns511 13.2引導和啟動問題的故障檢查511 最後已知的好配置512 安全模式512 安全模式下的驅動程式載入513 能感知安全模式的使用者程式514 安全

模式下的引導日誌515 Windows恢復環境（WinRE）516 引導狀態檔519 解決常見的引導問題520 MBR損壞520 引導磁區損壞520 BCD的錯誤配置520 系統檔損壞521 Windows資源保護522 System儲巢損壞523 啟動畫面之後的崩潰或者掛起523 13.3停機525 實驗：驗證HungAppTimeout值526 13.4本章總結528 第14章 崩潰轉儲分析529 14.1Windows為什麼會崩潰529 14.2藍屏530 Windows崩潰的原因531 14.3診斷崩潰問題533 14.4崩潰轉儲文件535 實驗：查看轉儲檔的資訊539 崩潰轉儲的生

成540 14.5Windows錯誤報告542 14.6線上崩潰分析543 14.7基本的崩潰轉儲分析545 Notmyfault545 基本的崩潰轉儲分析546 詳細的分析547 14.8使用崩潰診斷工具549 緩衝區溢位、記憶體破壞和特殊記憶體池550 實驗：通過驅動程式檢驗器啟用特殊記憶體池552 代碼改寫和系統代碼防寫553 14.9高級的崩潰轉儲分析554 棧破壞555 掛起的或無回應的系統557 實驗：利用LiveKd來生成Hyper—V客戶的轉儲559 當沒有崩潰轉儲時561 實驗：附載一個內核調試器562 14.10對常見停止代碼的分析564 0xD1—DRIVER_IRQL_

NOT_LESS_OR_EQUAL564 0x8E—KERNEL_MODE_EXCEPTION_NOT_HANDLED566 0x7F—UNEXPECTED_KERNEL_MODE_TRAP567 0xC5—DRIVER_CORRUPTED_EXPOOL569 硬體故障571 實驗：藍屏螢幕保護裝置程式572 14.11本章小結572 譯者序一 在所有介紹Windows作業系統的圖書中，我相信都離不開Windows Internals系列提供的資訊。除了公開可見到的Windows原始程式碼以外，本書是披露Windows系統機理最為詳盡的一份資料，尤其對於 Windows的每

一個最新版本。本書第6版專門針對Windows 7和Windows Server 2008 R2進行了大幅度更新。由於篇幅的增加，這一版本改成了上下兩冊來發行，由此也可見本書的“分量”。本書上冊中文版已於2014年4月出版，這幾年間，我 經常收到讀者的詢問，本書下冊是否出版。現在，下冊中文版終於要出版了，讀者們可以如願看到本書了。 在Windows作業系統的發展歷程 中，Windows 7是一個具有特殊意義的版本。它可以算得上是最為複雜的單機作業系統，無論是從代碼規模、代碼複雜度，還是從系統適應場景的複雜程度，都超過了以前所有的 版本。從某種意義上，Windows 7代表了軟體工程的一個頂峰

——人類可以構造出如此複雜且能穩定工作的軟體系統！與此相對應，要用一本書來涵蓋其中的各種機理也同樣是一項艱巨的任務，本書作者基於他們過去所做的大量工作，以及對Windows的深入理解，出色地完成了這一詮釋工作。 本書的權威性毋庸置疑。Mark Russinovich因在Windows內核探索方面所作出的貢獻而成為Microsoft Fellow（現為Azure CTO），本書中用到的大量Sysinternals工具均出自他的手筆。David Solomon長期從事Windows NT內部機理的培訓，他不僅在全球各地培訓Windows系統程式師，甚至也為Microsoft的內部員工提供Wind

ows內核培訓服務，他從本書第 2版開始奠定了卓有成效的敘述風格。Alex Ionescu是一名年輕的駭客型Windows專家，曾經為ReactOS（一個開源的作業系統專案，旨在相容Windows 2000/XP/Server 2003的應用程式）編寫了絕大多數內核代碼。他曾經發現和報告了一些與Windows內核相關的軟體漏洞，也跟David Solomon一起講授Windows內部機理的課程。有如此強大的作者組合，再加上Microsoft的內部支援（包括提供原始程式碼，以及Windows 開發組的細緻解釋），本書無疑是Windows最新版本的第一手技術資料。 每一個對Windows作業系統

有濃厚興趣的讀者都不應該錯過這本書。 本書上冊介紹了Windows的系統架構、系統機制、管理機制、進程與執行緒、安全性和網路。下冊是上冊的直接延續，共有7章，分別介紹了Windows I/O、存儲管理、記憶體管理、緩存管理器、檔案系統、啟動與停機，以及崩潰轉儲分析。每一章都是一個重要話題，讀者既可以在上冊的基礎上繼續深入鑽研 Windows各個子系統，也可以有選擇地閱讀某些章節。在閱讀過程中，最好能動手做一做書中描述的實驗。做這些實驗的門檻並不高，但效果非常好，既可以 讓你直觀地領會Windows內部的一些設計與實現，也可以積累一些洞察Windows內部活動的方法，這些方法對於排查Windo

ws平臺上出現的問題 往往很有幫助。 我與本書的淵源是從第4版（針對Windows XP/Server 2003）開始的，後來第5版（針對Windows Vista/Server 2008）錯過了出版週期，直至這次第6版又有機會翻譯。這三個版本，連同後來的第7版（針對Windows 10/Server 2016）都採用同樣的敘述框架，只是針對最新的Windows版本做了更新。本書講述的內容，雖然是針對Windows 7/Server 2008 R2，但更新幅度較大，尤其是有關64位元系統的介紹，有較多新內容。即使讀者已經在Windows 8或者Windows 10上工作，本書中的內容仍然對你

有價值。另外，如果讀者不滿足于本書Windows系統機理的系列介紹，而希望進一步理解Windows作業系統的源代 碼實現以及內核中的各種基礎演算法，則推薦閱讀另一本書《Windows內核原理與實現》，這是我在Windows XP/Server 2003 SP1內核代碼基礎上寫作的一本講解Windows內核的書，它幾乎將Windows內核大白於天下。 最後，我要特別感謝范德成先生，他在我第4版譯稿的基礎上，更新到了第6版。也要感謝電子工業出版社的編輯劉皎，依然把第6版的翻譯工作交給了我，使我有機會彌補第5版中文版未能出版之缺憾。 潘愛民 2018年1月於杭州 譯者序二 微軟的Windows

作業系統歷經三十年左右的發展，早已成為一個博大精深的桌面及伺服器作業系統，並在市場上獲得了很大的成功。但近十年來，以亞馬遜、穀 歌、Facebook等為代表的互聯網企業在市場和技術兩方面開疆拓土，極大地推動了移動設備、雲計算、大資料和人工智慧等行業的發展，顯著影響了包括微 軟在內的各大傳統軟體巨頭的發展態勢。繼2006年亞馬遜提出雲計算之後，微軟於2008年首度公開Azure虛擬機器雲平臺，SAP也在2012年公開其 應用程式雲平臺。儘管各種新的技術不斷湧現，但本書的定位焦點仍然在Windows作業系統本身，在我看來，這本書的價值依然很高，因為技術的本源有共通 性，Windows作業系統又可謂

是微軟技術的中流砥柱——微軟的Azure雲平臺的作業系統就是基於Windows開發的，其上運行的虛擬機器管理器正是 最早在Windows Server 2008中發佈的Hyper-V。 如果你對Windows作業系統有著濃厚的興趣，自然不應該錯過本書。如 果你是分散式系統架構師，也同樣能從本書中受益。這是因為，分散式系統和作業系統在許多方面都有著或多或少的相似性，對作業系統設計原理的掌握自然會對分 布式系統的設計有重大啟發和幫助。比如，作業系統的執行緒調度和分散式系統的負載均衡、作業系統的磁片緩存和分散式系統的緩存設計、作業系統的檔案系統和分 布式系統的檔案系統、虛擬機器管理器的VLAN和分

散式系統的軟體定義網路（SDN）、作業系統的效能監視器與分散式系統伺服器的性能監視平臺等之間都有不少相似性。 以交易處理為例，Windows Vista中引入了KTM（內核事務管理器，參見本書第12章），它所實現的事務的隔離級別類似於資料庫的READ COMMITTED級別，是一種幾乎所有SQL資料庫都會實現的隔離級別；而分散式系統中的Paxos共識演算法所能實現的分散式事務，其隔離級別也類似於 READ COMMITTED。又以磁片緩存為例（參見本書第11章），作業系統的磁片緩存是強一致性的，而分散式系統緩存可以做成應用伺服器內的，或者是專門的緩 存層，前一種實現對負載均衡調度有特殊要求，

而普通的負載均衡會大大降低緩存命中率從而導致系統性能低下，後一種實現則在網路延遲上稍差些。兩種實現都要 考慮是做成強一致性的還是最終一致性的，前者需要在寫的同時更新緩存，後者則需要自動淘汰舊的緩存資料。緩存的細微性也很重要，細微性過小可能導致索引資料量 過大，這和作業系統磁片緩存的原理是類似的。所以，理解作業系統的知識能拓展眼界，進而對基於這些系統的設計產生正面影響。 此外，理解作業系統的 行為有助於設計性能更高的分散式程式。比如，瞭解作業系統磁片緩存的原理，有助於設計出高性能的物件存儲服務——可以想辦法提高物件存儲在作業系統上的緩 存命中率，或者在必要時禁用作業系統緩存而改為自己實現緩存機制

。又如，瞭解作業系統網路棧的工作模式，有助於編寫做高速網路傳輸的程式，甚至可以深入驅 動程式層面做進一步的性能優化。 我是Windows作業系統的深度使用者，學習和研究了包括Windows、Linux、FreeBSD、 OpenBSD在內的多種作業系統。從1995年首次接觸Windows 3.1開始，就與Windows結下了不解之緣。陸續使用過Windows 3.1、Windows 95、Windows 98、Windows ME、Windows NT 4.0、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 8

.1和Windows 10等各個版本，還接觸過Windows Server 2000、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2等伺服器版本，以及其上的Microsoft Virtual PC、Virtual Server和Hyper-V虛擬化技術。我會好奇它們有著怎樣的功能和性能，底層是怎樣工作的，為什麼這樣設計而不是那樣設計的；正是因為這種好奇，所 以Windows Internals一直是我十分感興趣的一本書。在完成本書上冊的翻譯工作後，我寫了一篇後記。2012年，當好友高博打電話告訴我有機會參與《深入解析

Windows作業系統》第6版的翻譯時，我非常欣喜。在高博的引薦下，我首次見到了仰慕已久的潘愛民老師。因此我非常感謝高博的引薦和潘愛民老師的認 可，感謝電子工業出版社的劉皎和白濤兩位編輯，本書的出版離不開他們的策劃和編輯。 范德成 2018年1月於上海浦東張江 引言 《深入解析Windows作業系統（第6版）》的讀者物件是那些想要理解Microsoft Windows 7和Windows Server 2008 R2作業系統的核心元件內部工作機理的高級電腦專業人員（包括開發人員和系統管理員）。開發人員利用這些知識，可以在構建Windows平臺上的應用程 序時更好地理解各種設計決策背後的基

本原理，調試複雜的問題。系統管理員也可以從這些資訊中獲益，因為理解了