只需一步,快速开始
854
3481
2
管理员
此生无悔入华夏, 长居日耳曼尼亚。
0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境(补充:http://www.m5home.com/bbs/thread-8495-1-1.html) ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境(补充:http://www.m5home.com/bbs/thread-9508-1-1.html) |-编译和加载内核HelloWorld(勘误:http://www.m5home.com/bbs/thread-8421-1-1.html) ------------------------------ 2.内核编程基础 |-WIN64内核编程的基本规则 |-驱动程序与应用程序通信(补充:http://www.m5home.com/bbs/thread-8602-1-1.html) |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码(补充:http://www.m5home.com/bbs/thread-8201-1-1.html) ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard(补充:http://www.m5home.com/bbs/thread-8231-1-1.html) |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK(勘误:http://www.m5home.com/bbs/thread-7994-1-1.html) |-SHADOW SSDT HOOK和UNHOOK(补充:http://www.m5home.com/bbs/thread-9412-1-1.html) |-INLINE HOOK和UNHOOK(补充:http://www.m5home.com/bbs/thread-8154-1-1.html) ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载(补充:http://www.m5home.com/bbs/thread-8152-1-1.html) |-无HOOK监控注册表操作 |-无HOOK监控文件操作(补充:http://www.m5home.com/bbs/thread-8922-1-1.html) |-无HOOK监控进线程句柄操作(补充:http://www.m5home.com/bbs/thread-9324-1-1.html) |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现内嵌汇编 (补充:http://www.m5home.com/bbs/thread-8108-1-1.html) |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块(勘误:http://www.m5home.com/bbs/thread-8450-1-1.html) |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子(补充:http://www.m5home.com/bbs/thread-9411-1-1.html) |-强制解锁文件(补充:http://www.m5home.com/bbs/thread-8869-1-1.html) |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
WIN64驱动教程补充[1]:恢复隐藏的进程 WIN64驱动教程补充[2]:干掉所有sfilter和MiniFilter WIN64驱动教程补充[3]:关于切换CR3读写进程内存 WIN64驱动教程补充[4]:DKOM副作用总结 WIN64驱动教程补充[5]:获得SSDT函数地址(32、64全平台兼容) WIN64驱动教程补充[6]:关于商业级别的进程保护 WIN64驱动教程补充[7]:关于商业级别的进程保护(续) WIN64驱动教程补充[8]:关于商业级别的进程保护(续2) WIN64驱动教程补充[9]:关于ARK获取进程路径的方法 WIN64驱动教程补充[10]:在高IRQL下执行只能在PASSIVE_LEVEL执行的代码 WIN64驱动教程补充[11]:操作被独占打开的文件 WIN64驱动教程补充[12]:硬编码的那点事儿 WIN64驱动教程补充[13]:WIN64系统6字节的内联挂钩 WIN64驱动教程补充[14]:编程实现加载WDM驱动 WIN64驱动教程补充[15]:OBJECT HOOK的实现 WIN64驱动教程补充[16]:DISK IRP HOOK的实现 WIN64驱动教程补充[17]:内核EAT HOOK的实现 WIN64驱动教程补充[18]:内核IAT HOOK的实现 WIN64驱动教程补充[19]:IDT HOOK的实现 WIN64驱动教程补充[20]:MSR HOOK的实现 WIN64驱动教程补充[21]:一种罕见的注册表隐藏方式(DKOH) WIN64驱动教程补充[22]:内核级网络通信 WIN64驱动教程补充[23]:2字节非跳转INLINE HOOK WIN64驱动教程补充[24]:不用任何API设置线程CONTEXT WIN64驱动教程补充[25]:更安全的MmIsAddressValid WIN64驱动教程补充[26]:RING3毁灭全盘数据 WIN64驱动教程补充[27]:NTFS文件流的创建、删除、枚举 WIN64驱动教程补充[28]:WIN64上枚举关机和蓝屏回调
举报
0
94
钻石会员
7
421
1
铂金会员
8
77
76
267
9
贵宾会员
33
金牌会员
11
铜牌会员
20
初来乍到
4
本版积分规则 发表回复 回帖后跳转到最后一页
手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )
GMT+8, 2024-4-19 13:12 , Processed in 0.037052 second(s), 28 queries , Gzip On.
Powered by Discuz! X3.4
© 2001-2017 Comsenz Inc.
[复制链接]
发表于 2014-5-4 22:19:30
发表于 2014-5-5 00:24:24
