|
发表于 2019-9-27 10:00:27
|
查看: 149469 |
回复: 183
最全的一套,不像网上很多都有漏课,比如第12课,第30课等。
课程目录:
001--VC++6.0和MSDN6.0安装.rar
002-VS2003安装.rar
003-VS2008安装.rar
004-VC助手安装.rar
005-DDK安装.rar
006_VC6环境下编译驱动.rar
007_VS2003环境下编译驱动.rar
008_VS2008环境下编译驱动.rar
009_DDK_HelloWorld驱动.rar
010_添加卸载驱动例程.rar
011_驱动保护原理实战.rar
012_为DDK_HelloWorld添加设备例程.rar
013_VM+WlnDbg安装.rar
014_VM+Wlndbg调试驱动.rar
015_DDK_HelloWorld卸载例程细化.rar
016_为DDK_HelloWorld添加默认派遣例程.rar
017_需要具备的理论知识.rar
018_读出SSDT表当前函数地址.rar
019_读出原函数地址.rar
020_JMP地址转换公式推导.rar
021_绕过驱动保护.rar
022_NT式驱动的安装.rar
023_NT式驱动的卸载.rar
024_驱动代码中C和C++代码区别-24课.rar
025_再谈VC环境配置.rar
026__2.1手动加载NT式驱动(非工具).rar
027__2.2.1应用程序与驱动交互访问(缓冲模式).rar
028_实战EXE和SYS通信-28课(缓冲模式).rar
029_实战EXE和SYS通信-29课(直接访问模式).rar
030_实战EXE和SYS通信-30课(其它模式).rar
031-再谈SSDT_HOOK驱动保护原理.rar
032-自写驱动保护XX进程.rar
033_驱动中的内存管理.rar
034_内存管理相关内核API.rar
035_在认识链表结构exe部分.rar
036_在驱动中使用链表sys部分.rar
037_驱动中的异常处理-密.rar
038_内核模式下的字串操作-38课.rar
039_内核模式下的文件操作.rar
040_应用层勾子IAT HOOK.rar
041_IN Line HOOK.rar
042_ Shadow SSDT Hook.rar
043_ 绕过所有用户层HOOK.rar
044_InLineHook.rar
045_IDT中断描述符表.rar
046_IDT HOOK 实现.rar
047_过游戏保护实例分析.rar
048_过游戏保护实例分析.rar
049_过游戏保护代码编写 4.2.1.rar
050_XX游戏驱动保护代码书写4.2.0.rar
051_XX游戏驱动保护分析5.1.1.rar
更多视频和源码.rar
具体大纲:
一、基础篇--简单驱动模型
1.1 DDK及VC6.0/7.0/9.0的安装
1.1.1 安装VC++6.0
1.1.2 安装VS2003-VC++7.0
1.1.2 安装VS2008-VC++9.0
1.1.3 安装VC助手
1.1.5 安装DDK
1.2驱动开发VC环境安装配置
1.2.1 VC6环境编译驱动
A、VC6驱动编译配置
B、VC6集成环境下编译驱动
1.2.2 VS2003环境编译驱动
A、VC7驱动编译配置
B、VC7集成环境下编译驱动
1.2.3 VS2008环境编译驱动-008
A、VC9驱动编译配置
B、VC9集成环境下编译驱动
1.3 NT式驱动
1.3.1编写一个名为DDK_HelloWorld简单的驱动
A、VC6集成环境下书写代码
驱动入口函数DriverEntry
入口函数参数DriverObject和RegistryPath
B、书写SOURCES文件
C、书写makefile文件
D、用DDK-Build环境编译
1.3.2为DDK_HelloWorld添加卸载例程
A、输出调试信息-KdPrint
B、认识PDRIVER_OBJECT结构
C、注册驱动卸载例程
D、卸载例程回调函数构建
E、查看驱动调试信息
1.3.3 用工具过驱动保护(确定学习方向)
A、用户层至内核的隐秘通道
B、浅谈过保护原理
C、实战过XX游戏驱动保护,让OD,CE正常附加调试
D、小结
1.3.4为DDK_HelloWorld添加卸载驱动例程
A、输出调试信息-KdPrint
B、注册驱动卸载例程
C、卸载例程回调函数构建
D、PDRIVER_OBJECT结构
E、查看驱动调试信息
1.3.5为DDK_HelloWorld添加设备例程
1.3.6为DDK_HelloWorld添加默认派遣例程
1.4 NT式驱动的安装
1.4.1 VC6下编译DDK_HelloWorld
修改编译选项
修改链接选项
修改其它参数
1.4.2、驱动的安装
1.5、WDM式驱动
1.5.1 WDM驱动头文件
1.5.2 WDM驱动入口函数
1.5.3 AddDevice例程及参数
1.5.4 WDM驱动处理PNP回调函数
1.5.5 WDM对PNP的默认处理
1.5.6 WDM对IRP的处理
1.5.7WDM驱动的卸载例程
1.6 WDM式驱动的编译和安装
1.6.1用DDK环境编译安装
1.6.2 WDM的编译过程
1.6.3安装WDM驱动
1.7从用户层的HOOK说起
1.7.1ring3级的进程保护
17.2 ring3级的进程隐藏
1.8 用户层到内核的通道
1.9 驱动代码中C和C++代码区别
函数调用约定
C和C++编译方式
1.10 驱动编译方式详解
1.10.1-DDK编译环境下的Build
Free和Checked
build工具
makefile文件
sources文件
build工具环境变量
build工具的命令行参数
1.10.2-VC集成环境下编译参数设置
编译选项C/C++ Project Option
链接选项Link Project Option
1.10.3 编译小结
二、中级篇
2.1用DbgView 查看驱动调试信息
打印调试信息
查看调试信息
2.2手动加载NT式驱动-(非工具)
2.3编写程序加载NT式驱动
加载NT式驱动代码编写
卸载NT式驱动代码编写
测试
2.4驱动程序中的重要数据结构
DRIVER_OBJECT
DEVICE_OBJECT
2.5NT式驱动的基本结构
驱动加载过程
驱动入口函数
驱动卸载例程
用WindObj观察驱动
用DeviceTree观看驱动
2.6驱动中的内存管理
物理内存
虚拟内存
Ring0地址和Ring3地址
驱动程序和进程的关系
分页和非分页内存
分配内核内存
重载new和delete操作符
2.7在驱动中使用链表
链表结构
链表初始化
从首部插入链表
从尾部插入链表
从链表中删除
2.8其它
数据类型
返回状态值
检查内存的可用性
异常处理try-except
异常处理try-finally
断言
2.9内核函数
2.9.1内核模式下的字串操作
ASCII字符串和UNICODE字符串
ANSI_STRING字符串和UNICODE_STRING字符串
字符串的初始化与销毁
字符串复制
字符串比较
字符串转化成大写
字符串与整型数字相互转换
ANSI_STRING字符串和UNICODE_STRING字符串相互转换
2.9.2内核模式下的文件操作
文件的创建
文件的打开
获取和修改文件属性
写文件和读文件
2.9.3 IRP和派遣函数
IRP和IRP类型
对IRP函数的处理
编写通用的IRP派遣函数
跟踪IRP的利器IRPTrace
三、进阶篇(进程保护,RootKit)
3.1应用层勾子
IAT HOOK
InLine HOOK
3.2内核勾子
3.2.1 SSDT HOOK
修改SSDT内存保护机制
勾住 SSDT
3.2.2 Shadow SSDT
3.2.3 InLine HOOK
3.2.3 object HOOK
3.2.4 IDT中断描述符表
3.2.5 IDT HOOK
3.2.6勾住 IDT
四、高级篇--驱动逆向
4.1单机调试驱动windbg+vmware
4.1.1游戏反取色分析
4.1.2游戏进程隐藏分析
4.1.3游戏进程保护分析
4.2实战游戏驱动保护分析
4.2.1 再谈过保护原理
4.2.2 XX游戏XX 驱动分析
4.2.3 XX游戏XX 驱动分析 |
下载链接:
|
温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【 投诉建议】板块发帖举报。
|