欢迎光临散文网 会员登陆 & 注册

Windows 内核安全编程技术实践

2023-02-02 09:05 作者:孤风洗剑  | 我要投稿

《Windows 内核安全编程技术实践》,这是一本Windows 10内核安全开发系列丛书,探索 AntiRootKit 反内核工具核心原理与技术实现细节,揭开ARK工具的神秘面纱,本书以实战角度出发摒弃了大量无用的专业术语,欢迎阅读并提出建议。


Github 阅读地址: https://github.com/lyshark/WindowsKernelBook

Gitee阅读地址:https://gitee.com/lyshark/WindowsKernelBook


封面设计

《Windows 内核安全编程技术实践》


内容简介

《Windows 内核安全编程技术实践》是一本Windows 10 x64内核安全开发系列丛书,本书是LyShark多年的技术积累编写而成,不同于市面上的多数内核开发系列丛书,本书是以底层安全角度为切入点忽略了驱动开发中项目实践部分,LyShark发现多数丛书都会携带太多的技术概念,这些概念并不利于技术实践,本书将忽略太多没有意义的专业术语,所有文章均以实战角度出发,由简入深递进式教学,通过学习本书你可掌握`反内核`工具是如何实现的,这些技术细节相信市面上你绝对学不到,或者找到的都是过时的,LyShark追求高质量文章,保证每一篇文章都是可被直接应用。

撰写初衷

某一天,笔者想要实现一款ARK反内核工具,在找资料时发现市面上多数ARK工具都经过了VMP高强度加密,内核代码尤为宝贵这一点可以被理解,多数有源码的项目也都是过时的无法正常使用,故想要将ARK反内核工具功能在最新版本的Windows 10 x64系统上面实现,既可以整理归纳自己的知识体系,也可以帮助更多底层爱好者学习内核开发技术,让更多安全爱好者从中受益。


法律警告

本书内容首发于博客园,根据《中华人民共和国著作权法》相关规定本人享有著作权,本书的发放仅用于技术交流学习,本书内容免费,禁止第三方倒卖,如果您在第三方购买到本书请与作者联系,作者(LyShark)将追究倒卖者法律责任,纯净的技术交流需要你我共同来维护,感谢您阅读并支持作者的创作。

书籍目录

  • 第一章:环境配置篇

    • 1.1 配置驱动开发环境

    • 1.2 配置驱动开发模板

    • 1.3 配置驱动双机调试

    • 1.4 测试模式过DSE签名

  • 第二章:基础知识篇

    • 2.1 内核中的链表与结构体

    • 2.2 内核中的自旋锁结构

    • 2.3 内核字符串转换方法

    • 2.4 内核字符串拷贝与比较

    • 2.5 探索DRIVER驱动对象

    • 2.6 内核使用IO/DPC定时器

  • 第三章:内核驱动通信篇

    • 3.1 驱动程序与应用层简单通信

    • 3.2 应用DeviceIoContro开发模板

    • 3.3 应用DeviceIoContro模板精讲

    • 3.4 通过SystemBuf与内核层通信

    • 3.5 通过ReadFile与内核层通信

    • 3.6 通过PIPE管道与内核层通信

    • 3.7 通过Async反向与内核通信

    • 3.8 运用MDL映射实现多次通信

    • 3.9 通过应用层堆实现多次通信

    • 3.10 基于事件同步的反向通信

  • 第四章:内核驱动读写篇

    • 4.1 内核远程堆分配与销毁

    • 4.2 内核CR3切换读写内存

    • 4.3 内核MDL读写进程内存

    • 4.4 通过内存拷贝读写内存

    • 4.5 内核R3与R0内存映射拷贝

    • 4.6 内核进程汇编与反汇编

    • 4.7 内核解析内存四级页表

    • 4.8 内核读写内存浮点数

    • 4.9 内核读写内存多级偏移

    • 4.10 内核物理内存寻址读写

  • 第五章:内核SSDT枚举篇

    • 5.1 内核枚举SSDT表基址

    • 5.2 内核枚举SSSDT表基址

  • 第六章:内核进程线程篇

    • 6.1 内核中进程与句柄互转

    • 6.2 内核中枚举进线程与模块

    • 6.3 监控进程与线程对象操作

    • 6.4 内核监控进程与线程创建

    • 6.5 内核DKOM实现进程隐藏

    • 6.6 内核中实现Dump进程转储

    • 6.7 内核遍历进程VAD结构体

    • 6.8 运用VAD隐藏R3内存思路

    • 6.9 内核摘链DKOM进程隐藏

    • 6.10 内核无痕隐藏自身分析

    • 6.11 内核强制结束进程运行

  • 第七章:内核模块篇

    • 7.1 内核判断驱动加载状态

    • 7.2 内核取ntoskrnl模块基地址

    • 7.3 内核取应用层模块基地址

    • 7.4 内核通过PEB取进程参数

    • 7.5 断链隐藏驱动程序自身

    • 7.6 内核特征码搜索函数封装

    • 7.7 内核LDE引擎计算汇编长度

    • 7.8 内核层InlineHook挂钩函数

    • 7.9 摘除InlineHook内核钩子

    • 7.10 取进程模块的函数地址

  • 第八章:内核枚举篇

    • 8.1 内核枚举IoTimer定时器

    • 8.2 内核枚举DpcTimer定时器

    • 8.3 内核枚举PspCidTable句柄表

    • 8.4 内核枚举Minifilter微过滤驱动

    • 8.5 内核枚举LoadImage映像回调

    • 8.6 内核枚举Registry注册表回调

    • 8.7 内核枚举进线程ObCall回调

  • 第九章:内核监控篇

    • 9.1 内核监控进程与线程回调

    • 9.2 内核注册并监控对象回调

    • 9.3 内核监视LoadImage映像回调

    • 9.4 内核运用LoadImage屏蔽驱动

    • 9.5 内核监控Register注册表回调

    • 9.6 内核监控FileObject文件回调

  • 第十章:内核网络通信篇

    • 10.1 内核封装WSK网络通信接口

    • 10.2 内核封装TDI网络通信接口

    • 10.3 内核封装WFP防火墙入门

  • 第十一章:内核PE结构篇

    • 11.1 内核特征扫描PE代码段

    • 11.2 内核解析PE结构导出表

    • 11.3 内核解析PE结构节表

    • 11.4 内核PE结构VA与FOA转换

    • 11.5 内核实现SSDT挂钩与摘钩

    • 11.6 内核扫描SSDT挂钩状态

    • 11.7 PE导出函数与RVA转换

    • 11.8 内核RIP劫持实现DLL注入

    • 11.9 内核远程线程实现DLL注入

    • 11.10 内核LoadLibrary实现DLL注入

    • 11.11 内核级ShellCode线程注入技术

  • 第十二章:内核文件与注册表篇

    • 12.1 内核文件读写系列函数

    • 12.2 内核解锁与强删文件

    • 12.3 内核遍历文件或目录

    • 12.4 文件微过滤驱动入门

    • 12.5 内核注册表增删改查

许可协议

CC BY-NC-ND 4.0

中华人民共和国著作权法


标签:Windows10驱动开发二进制安全内核安全底层开发技术

Windows 内核安全编程技术实践的评论 (共 条)

分享到微博请遵守国家法律