1) 『Windows Internals 7/e Vol.1』
2) 『Windows Internals 7/e Vol.2』

모바일 플랫폼을 포괄하는 마이크로소프트 윈도우 10과 윈도우 서버 2016 운영체제를 완벽하게 반영한 필수 가이드다. 핵심 구성 요소인 프로세스와 스레드, 메모리 관리를 다룬다. 그리고 더욱 관심이 높아지고 있는 보안 분야를 다루는 시스템 아키텍처의 내부 동작 방법을 이해할 수 있다. 고급 컴퓨터 개발자와 보안 연구가, 시스템 관리자를 위한 윈도우 운영체제의 설계 철학을 엿볼 수 있는 바이블이다.

이 책의 대상 독자

이 책은 독자가 파워유저 수준의 윈도우 작업에 익숙하며, CPU 레지스터와 메모리, 프로세스, 스레드와 같은 운영체제 및 하드웨어 개념을 기본적으로 이해하고 있다고 가정한다. 함수와 포인터, C 프로그래밍 언어 구문에 대한 이해는 일부 절에서 유용하다.

이 책의 구성

제6판과 동일하게 2권으로 나뉘어 있으며, 이 책이 첫 번째 권이다.
1장, '개념과 툴'에서는 윈도우 내부 개념에 대한 일반적인 소개를 하고, 책 전반에 걸쳐 사용되는 주요 툴을 소개한다. 책의 나머지 부분에 필요한 배경 지식을 제공하기 때문에 1장을 먼저 읽는 것이 중요하다.
2장, '시스템 아키텍처'에서는 윈도우를 구성하는 아키텍처와 주요 구성 요소를 보여주고, 이들을 심도 있게 알아본다. 이들 개념 중 일부는 후속 장에서 좀 더 세부적으로 다룬다.
3장, '프로세스와 잡'에서는 윈도우에서 프로세스가 구현되는 방법과 이를 처리하는 다양한 방법을 자세히 설명한다. 또한 잡은 프로세스 집합을 제어하고 윈도우 컨테이너 지원을 활성화하는 수단임을 설명한다.
4장, '스레드'에서는 윈도우에서 스레드를 관리하고 스케줄하며 조작하는 방법을 세부적으로 설명한다.
5장, '메모리 관리'에서는 메모리 관리자가 물리적 메모리와 가상 메모리를 사용하는 방법과 프로세스와 드라이버가 비슷하게 메모리를 조작하고 사용할 수 있는 다양한 방법을 보여준다.
6장, 'I/O 시스템'에서는 윈도우의 I/O 시스템이 어떻게 작동하고 I/O 주변 장치와 작업하기 위한 메커니즘을 제공하는 디바이스 드라이버와 어떻게 통합되는지 살펴본다.
7장, '보안'에서는 익스플로잇에 대처하기 위해 시스템의 일부가 된 완화책을 비롯해 윈도우에 내장된 다양한 보안 메커니즘을 상세히 설명한다.

고급 컴퓨팅 전문가를 위한 이 책은 윈도우 핵심 구성 요소가 내부적으로 어떻게 작동하는지에 대한 최신 안내서다. 고급 개발자는 더욱 강력하고 확장 가능한 소프트웨어를 개발하고, 관리자는 복잡한 시스템 및 성능 문제를 자세히 살펴보고, 보안 담당자는 시스템을 보호할 수 있다. 이번 7판은 2021년 5월(21년 상반기) 윈도우 10 및 윈도우 서버(2022년, 2019년, 2016년) 업데이트를 반영했다. 하이퍼-V에 대한 광범위한 내용과 함께 부팅 프로세스, 새로운 스토리지 기술, 윈도우 시스템 및 관리 메커니즘에 대한 새로운 챕터가 추가됐다. 윈도우 소스코드에 대한 내부자 액세스를 기반으로 독보적인 인사이트를 제공하며, 최신 디버깅 도구를 사용한 실전 실험을 통해 윈도우의 내부 동작을 직접 보여준다. 윈도우 10과 동일한 핵심 기술을 기반으로 하는 새로운 사용자 인터페이스 디자인 요소를 도입한 윈도우 11을 통해 독자들은 컴퓨팅의 새로운 미래에 대비할 수 있다.

추천의 글

큰 성공을 거둔 윈도우 3.1 운영체제의 내부를 사용하고 살펴본 필자는 1993년 마이크로소프트가 윈도우 NT 3.1을 출시했을 때 세상을 바꿀 윈도우 3.1의 잠재력을 즉시 알아챘다. 윈도우 NT의 아키텍트이자 엔지니어링 리더였던 데이비드 커틀러는 안전하고 안정적이며 확장성이 뛰어나면서도 사용자 인터페이스와 소프트웨어 실행 기능이 이전 버전과 동일한 윈도우 버전을 만들었다. 헬렌 커스터의 책 『Inside Windows NT』(Microsoft Press, 1992)는 디자인과 아키텍처에 대한 훌륭한 지침서였지만 실제 작동에 대해 더 깊이 있게 다룬 책이 필요하고 수요가 있다고 생각했다. 데이비드 커틀러의 이전 개발에 대한 최종 가이드인 『VAX/VMS Internals and Data Structures』(Digital Press, 1984)는 텍스트로 얻을 수 있는 소스코드에 가까운 책이었고, 필자는 그 책의 윈도우 NT 버전을 집필하기로 생각했다.
하지만 진척은 더디기만 했다. 박사 학위를 마치고 작은 소프트웨어 회사에서 경력을 시작하느라 바빴기 때문이다. 윈도우 NT에 대해 배우고자 문서를 읽고 코드를 리버스엔지니어링하고, Regmon 및 Filemon과 같은 시스템 모니터링 도구를 코딩하고, 이를 사용해 윈도우 NT의 작동 방식을 내부적으로 살펴봄으로써 구조를 이해하는 데 도움이 되는 도구를 개발했다. 그렇게 배운 지식을 윈도우 NT 관리자를 위한 잡지인 에서 매달 ‘NT 내부’ 칼럼을 통해 공유했다. 이 책은 IDG 출판사와 집필 계약을 맺은 책인 『Windows Internals』에 실을 내용의 기초가 됐다.
이 책의 마감일은 풀타임 업무와 창업한 윈터널스 소프트웨어(Winternals Software)의 시스인터널스(Sysinternals)(당시 NT인터널스) 프리웨어 및 상용 소프트웨어를 작성하느라 집필이 더디게 진행됐다. 그러던 중 1996년 데이브 솔로몬(Dave Solomon)이 『Inside Windows NT, Second Edition』(Microsoft Press, 1997)을 출간했을 때 충격을 받았다. 이 책이 인상적이면서도 실망스러웠다. 헬렌의 책을 완전히 재집필한 이 책은 계획했던 대로 윈도우 NT의 내부를 더 깊고 폭넓게 다루고 있었으며, 윈도우 NT 리소스 키트와 디바이스 드라이버 개발 키트(DDK)의 기본 제공 도구 및 진단 유틸리티를 사용해 주요 개념과 동작을 시연하는 새로운 실습을 포함하고 있었다. 그는 기준을 매우 높게 끌어올렸기 때문에 그가 달성한 품질과 수준에 맞는 책을 쓴다는 것은 내가 계획했던 것보다 훨씬 더 큰 의미가 있다는 것을 알았다.
나는 윈도우 콘퍼런스 강연을 통해 데이브(Dave)를 알고 있었기 때문에, ‘피할 수 없다면 즐겨라’라는 속담처럼 책이 출간된 지 몇 주 만에 데이브에게 다음 판의 공동 집필을 제안하는 이메일을 보냈다. 이 책은 당시 윈도우NT 5라고 불렸고 나중에 윈도우2000으로 이름이 바뀌게 될 내용을 담고 있었다. 데이브가 포함하지 않은 주제에 대한 나의 NT 내부 칼럼을 기반으로 한 새로운 장을 추가하고, 나의 시스인터널 도구를 사용한 새로운 실습에 대한 글도 쓰기로 했다. 거래를 성사시키고자 책과 함께 배포하는 일반적인 소프트웨어 배포 방식인 CD에 전체 시스인터널즈 도구 모음을 포함시킬 것을 제안했다.
데이브는 흔쾌히 동의했다. 하지만 먼저 마이크로소프트의 승인을 얻어야 했다. 나는 윈도우 NT 워크스테이션과 윈도우 NT 서버가 레지스트리 설정에 따라 동작이 다른 동일한 코드라는 사실을 공개적으로 폭로해 마이크로소프트의 홍보에 어려움을 겪은 적이 있었다. 데이브는 윈도우 NT 소스 전체에 대한 액세스 권한이 있었지만 나는 그렇지 않았고 문서화되지 않은 API에 의존하는 시스인터널스나 윈터널스 소프트웨어에 지적 재산권 문제를 일으키지 않고자 계속 그렇게 하고 싶었다. 데이브가 마이크로소프트에 요청했을 때 나는 주요 윈도우 엔지니어들과의 관계를 회복하고 있었고 마이크로소프트도 암묵적으로 승인했기 때문에 운이 좋은 시기였다.
데이브와 함께 『Inside Windows 2000』을 집필하는 일은 정말 즐거웠다. 우연의 일치인지 모르겠지만 데이브는 나와 20분 정도 떨어진 곳에 살았다(나는 코네티컷(Connecticut) 주 댄버리(Danbury)에 살았고 데이브는 코네티컷 주 셔먼(Sherman)에 살았다). 우리는 서로의 집을 방문해 마라톤 글쓰기 세션을 진행하면서 함께 윈도우 내부를 탐색하고, 괴상한 농담과 말장난에 웃고, 기술적 질문을 던져 답을 찾고자 경쟁하곤 했는데, 데이브는 소스코드를 샅샅이 뒤지고 나는 디스어셈블러, 디버거, 시스인터널스 도구를 사용했다.
그렇게 해서 나는 역사상 가장 상업적으로 성공한 운영체제 중 하나의 내부 작동을 설명하는 결정적인 책의 공동 저자가 됐다. 윈도우 XP와 윈도우 비스타를 다룬 5판에는 알렉스 이오네스쿠를 참여시켰다. 알렉스는 세계 최고의 리버스 엔지니어이자 운영체제 전문가로, 가독성과 세부 사항에 대한 당사의 높은 기준에 부합하거나 그 이상으로 책의 폭과 깊이를 더해줬다. 새로운 기능과 하위 시스템으로 성장하는 윈도우 자체와 함께 책의 범위가 넓어지면서 6판은 5판의 단행본 출판 한계를 초과해 2권으로 나눴다.
6판 집필이 시작될 무렵 나는 이미 애저로 자리를 옮겼고 7판을 준비할 무렵에는 더 이상 책에 기여할 시간이 없었다. 데이브 솔로몬은 은퇴했고 윈도우가 몇 년마다 주요 릴리스와 버전 번호로 출시되던 것에서 윈도우 10이라는 이름으로 불리며 지속적으로 기능 업그레이드를 통해 출시되면서 책을 업데이트하는 작업은 더욱 어려워졌다. 파벨 요시포비치(Pavel Yosifovitch)가알렉스의 1권을 도와줬지만, 그 역시 다른 프로젝트로 바빠 2권에 참여하지 못했다. 알렉스 역시 자신의 스타트업 크라우드스트라이크(CrowdStrike)로 바빴기 때문에 2권에 참여할 수 있을지 확신할 수 없었다. 다행히 안드레아가 도와줬다. 알렉스와 함께 2장에서 시작 및 종료 프로세스, 레지스트리 하위 시스템, UWP 등 시스템의 광범위한 부분을 업데이트했다. 단순히 새로워진 내용뿐 아니라 하이퍼V, 캐싱 및 파일 시스템, 진단 및 추적에 대해 자세히 설명하는 3개의 새로운 장도 추가했다. 역사상 가장 중요한 소프트웨어 중 하나인 윈도우의 내부 작동에 대해 기술적으로 가장 심도 있고 정확하게 설명하는 윈도우 내부 책 시리즈의 명성은 안전하며, 내 이름이 여전히 목록에 남아 있다는 사실에 자부심을 느낀다.
내 경력에서 기억에 남는 순간은 데이비드 커틀러(David Cutler)에게 『Inside Windows 2000』의 서문을 써 달라고 부탁했을 때였다. 데이비드 솔로몬과 나는 윈도우 엔지니어들을 만나고자 몇 차례 마이크로소프트를 방문한 적이 있었고, 그중 몇 차례 데이비드를 만난 적이 있었다. 하지만 그가 동의할지 몰랐기 때문에 그가 동의했을 때 매우 기뻤다. 데이비드에게 부탁했을 때와 비슷한 입장이 돼 반대편에 서 있는 지금이 조금은 믿기지 않는데, 기회가 주어져 영광이다. 내가 쓴 추천의 글을 통해 이 책이 『Inside Windows 2000』 구매자들에게 데이비드 커틀러의 책이 그랬던 것처럼 신뢰할 수 있고 명확하고 종합적이라는 믿음을 드릴 수 있기를 기대한다.

─마크 러시노비치(Mark E. Russinovich),
마이크로소프트 애저 최고 기술 책임자 겸 기술 펠로우

이 책에서 다루는 내용

◆ ALPC, 객체 관리자, 동기화, WNF, WoW64 및 프로세서 실행 모델을 포함해 장치 드라이버 및 애플리케이션을 제공하기 위한 시스템 메커니즘 이해
◆ 트랩 프로세싱, 세그먼테이션 및 사이드 채널(side channel) 보안 취약점을 포함한 기본 하드웨어 아키텍처 분석
◆ OS 취약점으로부터 윈도우 가상화 및 가상화 기반 보안(VBS)이 보호하는 방법 이해
◆ 레지스트리, 윈도우 서비스, WMI, 작업 스케줄링을 포함한 주요 관리 및 구성 메커니즘 이해
◆ 윈도우 이벤트 추적(ETW) 및 DTrace와 같은 분석 서비스 이해
◆ 캐시 관리자와 파일 시스템 드라이버가 어떻게 상호작용해 파일, 디렉터리 및 디스크를 안정적으로 지원 이해(NVDIMM(영구 메모리) DAX장치 포함)
◆ NTFS, ReFS 및 기타 윈도우 파일 시스템 이해
◆ 윈도우 시작/종료 작업 및 부팅 흐름에 관련된 OS 구성 요소 분석
◆ UEFI 기반 보안 부팅, 측정된 부팅 및 보안 부팅 분석

이 책의 대상 독자

독자가 고급 사용자 수준의 윈도우 환경에 익숙하고 CPU 레지스터, 메모리, 프로세스, 스레드와 같은 운영체제 및 하드웨어 개념을 기본적으로 이해하고 있다고 가정한다. 함수, 포인터 및 유사한 C 프로그래밍 언어 구조에 대한 기본적인 이해가 있어야 내용을 이해하기에 유리하다.

이 책의 구성

7판은 6판과 마찬가지로 2권으로 나뉘며, 지금 이 책이 두 번째 책이다.
8장, ‘시스템 메커니즘’에서는 ALPC, 객체 관리자, 동기화 루틴 등 운영체제가 디바이스 드라이버와 애플리케이션에 주요 서비스를 제공하는 데 사용하는 중요한 내부 메커니즘에 대한 정보를 제공한다. 또한 트랩 처리, 세분화 및 사이드 채널 취약성을 비롯해 윈도우가 실행되는 하드웨어 아키텍처와 이를 해결하는 데 필요한 해결 방법에 대한 세부 정보를 알아본다.
9장, ‘가상화 기술’에서는 윈도우 OS가 최신 프로세서가 제공하는 가상화 기술을 사용해 사용자가 동일한 시스템에서 여러 가상 머신을 생성하고 사용할 수 있게 하는 방법을 설명한다. 또한 가상화는 새로운 수준의 보안을 제공하고자 윈도우에서 폭넓게 사용한다. 따라서 9장에서는 보안 커널 및 격리된 사용자 모드를 자세히 알아본다.
10장, ‘관리, 진단, 추적’에서는 관리, 구성, 진단을 위해 운영체제에서 구현된 기본 메커니즘을 자세히 설명한다. 특히 윈도우 레지스트리, 윈도우 서비스, WMI 및 작업 스케줄링과 함께 윈도우용 이벤트 추적ETW 및 DTrace와 같은 진단 서비스를 살펴본다.
11장, ‘캐싱과 파일 시스템’에서는 가장 중요한 ‘스토리지’ 구성 요소인 캐시 관리자와 파일 시스템 드라이버가 어떻게 상호작용해 파일, 디렉터리 및 디스크 장치에서 효율적이고 안전한 방식으로 작동하는지 보여준다. 또한 윈도우에서 지원하는 파일 시스템, 특히 NTFS와 ReFS를 자세히 알아본다.
12장, ‘시작과 종료’에서는 시스템을 시작하고 종료할 때 발생하는 작업 흐름과 부팅 흐름에 관여하는 운영체제 구성 요소를 살펴본다. 또한 보안 부팅, 측정 부팅 및 보안 실행과 같은 UEFI의 새로운 기술도 살펴본다.

안드레아 알레비(Andrea Allievi)

15년 이상의 경력을 가진 시스템 레벨 개발자이자 보안 분야 전문가다. 2010년, 밀라노 비코카 대학교(University of Milano-Bicocca)에서 컴퓨터공학 학사 학위를 취득했다. 논문을 위해 모든 윈도우 7 커널 보호(패치가드 및 드라이버 서명 적용)를 무력화할 수 있는 64비트 MBR(마스터 부트 레코드) 부트킷을 개발했다. 커널 모드 코드부터 유저 모드 코드까지 운영체제 내부를 담당하는 리버스 엔지니어이기도 하다. 먼저 UEFI 부트킷(연구 목적으로 개발했으며 2012년에 발표), 여러 패치 가드 바이패스 및 기타 여러 연구 논문과 기사를 작성한 최초 개발자다. 멀웨어 및 지능형 지속적인 스레드 제거에 사용되는 여러 시스템 도구 및 소프트웨어의 저자이기도 하다. 또한 다양한 컴퓨터 보안 회사, 이탈리아의 TG소프트, 세이퍼바이트(현 멀웨어바이트), 시스코 시스템즈의 탈로스 그룹 경력이 있다. 2016년에 마이크로소프트 위협 인텔리전스 센터(MSTIC) 그룹의 보안 연구 엔지니어로 마이크로소프트에 입사했다. 2018년 1월부터는 마이크로소프트의 커널 보안 코어 팀에서 수석 핵심 OS 엔지니어로 일하면서 주로 NT 및 보안 커널의 새로운 기능(예를 들어 리트폴린 또는 추측 완화 기능)을 유지 관리하고 개발하는 업무를 담당하고 있다. 보안 연구 커뮤니티에서 활발히 활동하고 새로운 커널 기능에 대한 기술보안 연구 커뮤니티에서 활발히 활동하고 있다. 마이크로소프트의 새로운 커널 기능에 대한 Recon 및 Microsoft BlueHat과 같은 여러 기술 콘퍼런스에서 강연하고 있다. 트위터(현 X)(@aall86)를 팔로우하라.

알렉스 이오네스쿠(Alex Ionescu)

크라우드스트라이크 사의 엔드포인트 엔지니어링 부사장으로, 창립 수석 아키텍트로 시작했다. 로우레벨 시스템 소프트웨어, 커널 개발, 보안 교육, 리버스엔지니어링 분야의 세계적인 보안 아키텍트이자 컨설턴트 전문가다. 20년이 넘는 기간 동안 보안 연구 작업을 통해 윈도우 커널 및 관련 구성 요소의 수십 가지 중요한 보안 취약점과 여러 동작 버그를 수정했다. 그 전에는 처음부터 작성된 오픈소스 윈도우 클론인 리액트OS(ReactOS)의 수석 커널 개발자로서 대부분의 윈도우 NT 기반 하위 시스템을 작성했다. 컴퓨터 공학을 전공하는 동안 애플에서 iOS 커널, 부트 로더, 아이폰, 아이패드, 애플TV의 오리지널 핵심 플랫폼 팀에서 드라이버를 개발했다. 또한 다양한 기관을 대상으로 로우레벨 시스템 소프트웨어, 리버스엔지니어링 및 보안 교육을 전문으로 하는 윈사이더 세미나 앤 솔루션 사(Winsider Seminars & Solutions, Inc.)의 설립자이기도 하다. 커뮤니티에서 활발한 활동을 이어가고 있으며 전 세계 20여 개 이상의 행사에서 강연을 해왔다. 전 세계 기관과 일반 사용자에게 윈도우 내부 교육, 지원 및 리소스를 제공한다. 트위터(@aionescu)와 블로그(www.alex-ionescu.com 및 www.windows-internals.com/blog)를 팔로우하라.

파벨 요시포비치(Pavel Yosifovich)

마이크로소프트 기술과 툴에 전통한 개발자이고 교육자, 저자이며, 마이크로소프트 MVP이고, Pluralsight 저자로서 소프트웨어에 대한 무한한 사랑이 있다. 8비트 머신 시절부터 이 분야에 계속 종사하고 있으며, 코모도64(Commodore64)에서 프로그래밍하던 시절을 애정 어린 시선으로 회상하곤 한다.

마크 러시노비치(Mark Russinovich)

현재 마이크로소프트의 애저 최고 기술 책임자 겸 기술 선임 연구원이다. 운영 체제 및 보안 분야에서 널리 알려진 전문가이다.

데이비드 솔로몬(David A. Solomon)

20년간 윈도우 내부를 가르쳤으며 1993년과 2005년 마이크로소프트 지원 최우수 전문가(MVP) 상을 받았다.

안랩 기반기술팀

파일 시스템과 네트워크, 가상화, 매체 제어 등의 여러 분야에 관련된 윈도우 보안 시스템 프로그램과 커널 프로그램을 개발하며, 보안 이슈에 관련된 선행적인 기술 연구와 기반 기술 개발을 수행하는 일에 애정을 갖고 열정적으로 함께 일하는 팀이다. 이 책의 번역에는 김한주 팀장, 김소현, 최바울 책임, 박영준 주임연구원 그리고 홍성진 수석이 참여했다.

김점갑

삼성전자에서 GNU 컴파일러를 기반으로 ARM CORE 컴파일러 포팅/개발 프로젝트를 수행했다. 이후 보안 분야와 디바이스 드라이버에 관심을 두고 데브그루를 공동으로 창업해 다양한 장치/보안 드라이버를 개발했고, 다수의 드라이버 강의나 세미나, 교육을 진행했다. (주)안랩의 기반 기술 팀에서 보안 관련 시스템 프로그램 개발 업무를 수행했다. 현재는 여행 사진에 관심이 많다.