本书聚焦恶意攻击的恶意代码所产生的各种恶意行为，包括网络行为、跨进程行为、系统调用行为、持久化行为，潜藏行为，并始终以行为作为入侵检测依据，深入介绍WFP过滤驱动、NDIS过滤驱动、注册表过滤驱动、COM挂钩技术、恶意硬件监控技术、基于VT的系统调用监控技术、rootkit和bootkit的原理与检测和防御技术，多层次地构筑有效的主机入侵检测和防御体系。通过本书，读者将了解攻击者的惯用套路，并从源码角度了解为Windows构筑内核和用户态安全功能的主机防御系统的具体开发与实现过程，从而对主机安全防御形成整体而深刻的认知，并熟练应用于实际开发中。