"本书从企业内网面临的各种实际威胁出发，引出 Windows 上运行的基于主机的入侵检测与防御系统，由浅入深地介绍其技术基础、原理与源码实现。 全书聚焦恶意攻击的主要起点和过程，即恶意模块执行与恶意脚本执行的检测和防御，介绍 Windows 微过滤驱动、AMSI 反恶意软件扫描接口、ETW 日志解析、RPC 远程调用接口过滤等技术，多层次地构筑有效的主机入侵检测和防御体系。读者将了解攻击者的惯用套路，并从源码角度了解 Windows 内核和用户态安全功能的具体实现，从而对主机安全防御形成整体而深刻的认知，并熟练应用于实际开发中。 本书的读者对象包括有一定 C 语言基础的高等院校师生、计算机与网络安全行业从业者、计算机安全爱好者、企业内网安全管理人员。 "

"谭 文，某互联网企业安全技术专家，2002年毕业于西安交通大学信息工程专业，从事底层及安全相关开发二十余年。曾参与或带领团队开发DLP、防火墙、模拟器、反病毒软件、业务安全等诸多业内著名产品，亲手编写的代码在日活千万级的用户机器上稳定运行，守护着用户与系统的安全。著有《天书夜读：从汇编语言到Windows内核编程》《寒江独钓：Windows内核安全编程》《Windows内核编程》等多部技术专著。业余爱好射箭和剑道，为上海华剑馆弟子。 周钰淇，江苏省连云港市公安局网安支队四级警长，2018年获南京邮电大学信息安全专业硕士学位。长期从事网络安全工作，拥有丰富经验。曾任TrendMicro中国资深研发工程师，深度参与macOS平台EDR、XDR及SandBox项目研发。擅长安全系统开发及病毒恶意行为检测，擅长各类网络犯罪的追踪和取证技术。从警后曾获连云港市科技强警一等奖，连云港市五一创新能手称号和个人三等功一次。业余爱好空手道。 郭艳君，某互联网企业资深安全技术研发工程师，已从事安全行业相关工作近二十年。曾作为主要研究人员参与DLP、HIPS及XDR等多种业内著名安全产品研发，拥有极为丰富的开发经验。目前负责开发的RASP、HIPS等产品正守护着国内**互联网企业的服务器的安全。业余爱好制作各种神奇电子产品。"

推荐语 本书为开发者构建了从原理到实战的完整技术体系，书中系统拆解Windows内核安全机制，深度解析入侵检测防御模块设计、恶意行为特征捕获、内核级漏洞防御开发等核心技术，结合恶意脚本分析、日志监控分析、远程漏洞利用等实战场景，通过大量可复用代码示例与攻防案例，帮助读者掌握内存监控、进程保护、驱动级防护等关键编程技巧。周钰淇同志长期从事网络安全方面研究，入职公安系统后，参与多起重大涉网案件侦破，具有丰富的实战分析经验。 无论是网络安全从业者构建企业级防护系统，还是开发者探索Windows安全开发边界，本书都能以工程化思维打通“漏洞检测—防御实现—应急响应”全链路，成为掌握Windows平台安全编程的硬核指南。 仲海啸 连云港市公安局网络安全保卫支队 电子数据检验鉴定实验室教导员 《万径寻踪：Windows入侵检测与防御编程（卷一）》沿袭了谭文老师《天书夜读：从汇编语言到Windows内核编程》和《寒江独钓：Windows内核安全编程》的一贯风格，该书深入浅出地介绍了主流操作系统的底层知识，介绍了Windows系统的微过滤驱动框架、反恶意软件扫描接口、ETW事件日志框架、RPC等技术，一步一步地教读者如何设计和构建Windows下的EDR软件。 谭文老师近20年来一直专注于Windows底层软件的设计和开发，长期与恶意软件、rootkit、游戏外挂进行一线技术对抗，是国内真正精通Windows底层内核设计理念的专家。与世面上同类书籍相比，本书更具备实用性，是从事主机入侵防御、EDR软件设计和开发人员的必读书，也可以作为操作系统底层软件设计和开发工...