"本书从企业内网面临的各种实际威胁出发，引出 Windows 上运行的基于主机的入侵检测与防御系统，由浅入深地介绍其技术基础、原理与源码实现。

全书聚焦恶意攻击的主要起点和过程，即恶意模块执行与恶意脚本执行的检测和防御，介绍 Windows 微过滤驱动、AMSI 反恶意软件扫描接口、ETW 日志解析、RPC 远程调用接口过滤等技术，多层次地构筑有效的主机入侵检测和防御体系。读者将了解攻击者的惯用套路，并从源码角度了解 Windows 内核和用户态安全功能的具体实现，从而对主机安全防御形成整体而深刻的认知，并熟练应用于实际开发中。

本书的读者对象包括有一定 C 语言基础的高等院校师生、计算机与网络安全行业从业者、计算机安全爱好者、企业内网安全管理人员。

"