|
|
基础知识:
==========
驱动框架(NT和WDM)
驱动基础(编程概念、内核函数、基本数据结构等等)
驱动通信(R3主动与R0通信、R0主动与R3交互)
基本操作(系统线程、工作队列、计时器、字符串、内存、链表等等等等)
进程相关:
==========
枚举进程(PID、EPROCESS、进程路径等)
结束进程(多种方法)
挂起进程
恢复进程
保护进程(API HOOK、回调)
隐藏进程(API HOOK、DKOM)
----------
枚举线程
结束线程(多种方法)
挂起线程
恢复线程
----------
枚举DLL(多种方法)
卸载DLL
注入DLL/SHELLCODE(NT6注入到系统进程)
----------
RING3 INLINE HOOK/UNHOOK/绕过(多种方法)
RING3 EAT HOOK/UNHOOK
RING3 IAT HOOK/UNHOOK
----------
窗口操作(枚举、发消息、隐藏/显示、启用/禁用等)
----------
内存操作(枚举、申请、释放、读写、修改保护类型等)
----------
消息钩子(枚举、删除)
内核回调表(枚举、清除HOOK)
----------
枚举句柄
关闭句柄
----------
监控进程创建/退出(API HOOK、回调)
监控线程创建/退出(API HOOK、回调)
监控DLL加载(API HOOK、回调)
文件相关:
==========
API层文件操作(枚举、复制、删除、重命名)
FSD层文件操作(枚举、复制、删除、重命名)
DISK层文件操作(读写)
解析NTFS/FAT32
监控文件操作(API HOOK、SFILTER、MINIFILTER)
注册表相关:
============
API层注册表操作(枚举、新建、删除、重命名)
解析HIVE操作注册表
监控注册表操作(API HOOK、回调、DKOH)
HOOK相关:
==========
SSDT HOOK/UNHOOK(包括SHADOW SSDT)
INLINE HOOK/UNHOOK/绕过(多种方法)
IRP HOOK
OBJECT HOOK/UNHOOK
IDT HOOK/UNHOOK
EAT HOOK/UNHOOK
IAT HOOK/UNHOOK
MSR HOOK/UNHOOK
内核相关:
==========
枚举内核模块(链表、目录对象、暴搜)
监控驱动加载(API HOOK、回调)
枚举/删除回调(进程、线程、映像、注册表、蓝屏、关机、对象、文件系统改变)
枚举/删除定时器(IO/DPC)
枚举GDT
网络相关:
==========
内核网络通信(TDI、WSK)
监控网络通信(WFP、TDI HOOK、NDIS HOOK、NDIS FILTER)
枚举网络连接(API方法、发IRP法)
枚举/挂钩NDIS处理函数
流量统计/下载限速
端口复用
64位系统专用:
==============
破解PATCHGUARD(动态/静态)
破解DSE(动态/静态)
杂项:
======
对象劫持
符号操作
PE解析
反调试
整体项目:
==========
PE工具
ARK
调试器
主动防御
沙箱
透明加密
VT级调试/反调试/主动防御
|
|
发表于 2014-5-9 21:59:45
发表于 2014-5-9 22:49:38
