Windows 内核安全编程技术实践 -- 系列文章

这是一套Windows 10 x64内核安全开发系列教程，由LyShark编写归纳总结，不同于市面上的多数内核文章，本教程不会注重专业术语的学习掌握，所有文章均以实战角度出发，由简入深递进式教学，代码均在Windows 10 Build 18362.19h1系统下严格测试，LyShark追求高质量文章，保证每一篇文章都是可直接编译且不会蓝屏。

本教程编写初衷，笔者想要实现一款ARK反内核工具，在找资料时发现市面上多数ARK工具都经过了VMP高强度加密，内核代码尤为宝贵这一点可以被理解，多数有源码的项目也都是过时的无法正常使用，故想要将这些功能在最新版本的Windows 10系统上面实现，既可以整理归纳自己的知识体系，也可以帮助更多底层爱好者学习内核开发技术，让更多安全爱好者从中受益。

如果文章打不开，则说明还没有写完，或者是出第二版，请耐心等待，版权正在申请中。。。。

• 第一章：环境配置篇

  • 1.1 驱动开发：配置Visual Studio驱动开发环境
  • 1.2 驱动开发：WDK8.1 驱动开发环境配置
  • 1.3 驱动开发：WinDBG 配置内核双机调试
  • 1.4 驱动开发：WinDBG 常用调试命令总结
  • 1.5 驱动开发：内核测试模式过DSE签名

• 第二章：基础知识篇

  • 2.1 驱动开发：内核中的链表与结构体
  • 2.2 驱动开发：内核中的自旋锁结构
  • 2.3 驱动开发：内核字符串转换方法
  • 2.4 驱动开发：内核字符串拷贝与比较
  • 2.5 驱动开发：探索DRIVER_OBJECT驱动对象
  • 2.6 驱动开发：内核使用IO/DPC定时器

• 第三章：内核通信篇

  • 3.1 驱动开发：驱动与应用的简单通信
  • 3.2 驱动开发：应用DeviceIoContro开发模板
  • 3.3 驱动开发：应用DeviceIoContro模板精讲
  • 3.4 驱动开发：通过SystemBuf与内核层通信
  • 3.5 驱动开发：通过ReadFile与内核层通信
  • 3.6 驱动开发：通过PIPE管道与内核层通信
  • 3.7 驱动开发：通过Async反向与内核通信
  • 3.8 驱动开发：通过MDL映射实现多次通信
  • 3.9 驱动开发：通过应用堆实现多次通信
  • 3.10 驱动开发：基于事件同步的反向通信

• 第四章：内核读写篇

  • 4.1 驱动开发：内核远程堆分配与销毁
  • 4.2 驱动开发：内核CR3切换读写内存
  • 4.3 驱动开发：内核MDL读写进程内存
  • 4.4 驱动开发：通过内存拷贝读写内存
  • 4.5 驱动开发：内核R3与R0内存映射拷贝
  • 4.6 驱动开发：内核级进程汇编与反汇编
  • 4.7 驱动开发：内核解析内存四级页表
  • 4.8 驱动开发：内核读写内存浮点数
  • 4.9 驱动开发：内核读写内存多级偏移

• 第五章：内核SSDT解析篇

  • 5.1 驱动开发：挂接SSDT内核钩子（x86）
  • 5.2 驱动开发：恢复SSDT内核钩子（x86）
  • 5.3 驱动开发：Win10内核枚举SSDT表基址
  • 5.4 驱动开发：Win10枚举完整SSDT地址表
  • 5.5 驱动开发：Win10枚举ShadowSSDT表基址

• 第六章：内核进程线程篇

  • 6.1 驱动开发：内核中进程与句柄互转
  • 6.1 驱动开发：内核中枚举进线程与模块
  • 6.2 驱动开发：监控进程与线程对象操作
  • 6.3 驱动开发：内核监控进程与线程创建
  • 6.4 驱动开发：内核DKOM实现进程隐藏
  • 6.5 驱动开发：内核中实现Dump进程转储
  • 6.6 驱动开发：内核遍历进程VAD结构体
  • 6.7 驱动开发：运用VAD隐藏R3内存思路
  • 6.8 驱动开发：内核摘链DKOM进程隐藏
  • 6.9 驱动开发：内核无痕隐藏自身分析
  • 6.10 驱动开发：内核强制结束进程运行

• 第七章：内核模块篇

  • 7.1 驱动开发：内核判断驱动加载状态
  • 7.2 驱动开发：内核取ntoskrnl模块基地址
  • 7.3 驱动开发：内核取应用层模块基地址
  • 7.4 驱动开发：内核通过PEB得到进程参数
  • 7.5 驱动开发：断链隐藏驱动程序自身
  • 7.6 驱动开发：内核特征码搜索函数封装
  • 7.7 驱动开发：内核LDE64引擎计算汇编长度
  • 7.8 驱动开发：内核层InlineHook挂钩函数
  • 7.9 驱动开发：摘除InlineHook内核钩子
  • 7.10 驱动开发：取进程模块的函数地址

• 第八章：内核枚举篇

  • 8.1 驱动开发：内核枚举IoTimer定时器
  • 8.2 驱动开发：内核枚举DpcTimer定时器
  • 8.3 驱动开发：内核枚举PspCidTable句柄表
  • 8.4 驱动开发：内核枚举Minifilter微过滤驱动
  • 8.5 驱动开发：内核枚举LoadImage映像回调
  • 8.6 驱动开发：内核枚举Registry注册表回调
  • 8.7 驱动开发：内核枚举进程与线程ObCall回调

• 第九章：内核监控篇

  • 9.1 驱动开发：内核监控进程与线程回调
  • 9.2 驱动开发：内核注册并监控对象回调
  • 9.3 驱动开发：内核监视LoadImage映像回调
  • 9.4 驱动开发：内核运用LoadImage屏蔽驱动
  • 9.5 驱动开发：内核监控Register注册表回调
  • 9.6 驱动开发：内核监控FileObject文件回调

• 第十章：内核网络通信篇

  • 10.1 驱动开发：内核封装WSK网络通信接口
  • 10.2 驱动开发：内核封装TDI网络通信接口
  • 10.2 驱动开发：内核封装WFP防火墙入门

• 第十一章：内核PE结构篇

  • 11.1 驱动开发：内核特征码扫描PE代码段
  • 11.2 驱动开发：内核解析PE结构导出表
  • 11.3 驱动开发：内核解析PE结构节表
  • 11.4 驱动开发：内核PE结构VA与FOA转换
  • 11.5 驱动开发：内核实现SSDT挂钩与摘钩
  • 11.6 驱动开发：内核扫描SSDT挂钩状态
  • 11.7 驱动开发：PE导出函数与RVA转换
  • 11.8 驱动开发：内核RIP劫持实现DLL注入
  • 11.9 驱动开发：内核远程线程实现DLL注入
  • 11.10 驱动开发：内核LoadLibrary实现DLL注入
  • 11.11 驱动开发：内核ShellCode线程注入技术

• 第十二章：内核文件篇

  • 12.1 驱动开发：内核文件读写系列函数
  • 12.2 驱动开发：内核遍历文件或目录
  • 12.3 驱动开发：内核解锁与强删文件
  • 12.4 驱动开发：文件微过滤驱动入门
  • 12.5 驱动开发：内核注册表增删改查

 

 

出处：https://www.cnblogs.com/LyShark/articles/16784393.html