《Windows内核分析》专题-索引目录

 转载https://www.cnblogs.com/onetrainee/p/11675224.html

 

这里整理了《Windows内核分析》专题的各篇博文，方便查找。

二进制中的数学换算

一、保护模式

1. GDT表与段描述符
2. D/B位与向下拓展的实验
3. 保护模式101012分页机制
4. 保护模式中的PDE与PTE

二、系统调用

1. Windows系统调用中API的三环部分(依据分析重写ReadProcessMemory函数)
2. Windows系统调用中API从三环到零环(上)
3. Windows系统调用中API从三环到零环(下)
4. Windows系统调用中的现场保存
5. Windows系统调用中的系统服务表
6. Windows系统调用中的系统服务表描述符(SSDT)

三、进程与线程

1. [Windows内核分析]KPCR结构体介绍 (CPU控制区 Processor Control Region)

四、驱动开发

1. Windows下第一个驱动程序
2. Windows下如何调试驱动程序
3. Windows内核编程时的习惯与注意事项
4. 内核空间与内核模块
5. 零环与三环通讯方式

五、句柄表

1. 句柄表(私有句柄表)
2. 私有句柄表

六、APC机制

1. APC的本质
2. 备用APC队列（没写完，占坑）
3. 用户APC的执行过程

七、内存管理

1. 存储物理页属性的PFN数据库
2. VAD树的属性及其遍历
3. R3环申请内存时页面保护与_MMVAD_FLAGS位的对应关系
4. 通过修改VAD属性破除锁页机制
5. 内存在0环的两种内存隐藏方式(基于VAD树)

八、异常

1. CPU异常的记录(以trap00为例)
2. 用户模拟异常的记录(以thorw 1 为例)
3. 用户异常与CPU异常的派发
4. 初识VEH链(用户异常派发的进一步研究)

九、调试

1. 调试对象的构建
2. 调试事件的派发
3. 调试事件的收集
4. 调试事件的处理结束
5. INT 3 中断调试处理流程 
6. 内存断点与硬件断点 　

十、自建调试体系

 

十一、x64

 

十二、VT调试

1. VT 调试环境搭建
2. 一顿操作之后成功在win7 64版本输出VT是否可用
3. VT开启前的检测与开启