首页 作品展示 课程中心 学习路径 登录
登录
首页 作品展示 课程中心 新闻列表 学习路径 个人中心

全栈安全-驱动内核机制篇

中 · 300课时+

6人学过

驱动内核 全栈安全
¥698.00购买
  • 课程简介
  • 目录
  • 作者信息
  • 教程资料

预备知识 

 C/C++ 编程基础

 Windows 系统原理与

 API 调用基础

 基本的汇编语言知识(x86/x64

 熟悉 PE 文件格式与进程内存布局

 熟悉Windows内核基础知识与操作


推荐前置课程:全栈开发篇/全栈逆向篇/全栈内核开发篇


课程介绍:本课程系统讲解Windows内核驱动程序开发技术的进阶实战篇,面向有一定汇编语言和操作系统基础知识的开发者,通过系统化讲解Windows内核核心机制,帮助学员掌握从应用层到内核层的完整技术栈,构建底层开发能力体系。通过本课程的学习,学员将能够从根本上理解Windows操作系统的运行机制,掌握内核级开发的核心技术,为从事系统级软件开发、安全研究或逆向工程等领域打下坚实基础。



保护模式

  • 保护模式-01.0 前言-保护模式学习前置要求与路线
  • 保护模式-01.1 前言-内存保护防止进程互相干扰
  • 保护模式-01.2 前言-特权级隔离防止用户程序被破坏系统
  • 保护模式-01.3 前言-保护模式核心的段页机制
  • 保护模式-01.4 段寄存器-常见段寄存器特性及含义
  • 保护模式-01.5 段寄存器-TR&LDTR配合下的任务切换机制
  • 保护模式-01.6 段寄存器-进程切换?线程切换
  • 保护模式-01.7 段寄存器-段修饰时机
  • 保护模式-01.8 段寄存器-显示部分及段选择子结构
  • 保护模式-01.9 段寄存器-隐藏部分与段描述符关联及段寄存器加载指令
  • 保护模式-02.0 段寄存器-段寄存器读写操作与属性探测
  • 保护模式-02.1 段描述符-GDTR&全局描述符表
  • 保护模式-02.2 段描述符-GDT中的描述符类型与段选择子拆定位
  • 保护模式-02.3 段描述符-段描述符结构拆分与内存布局
  • 保护模式-02.4 段描述符-SegmentLimit&Base&Type&S&DPL
  • 保护模式-02.5 段描述符-D位对代码栈向下拓展段栈影响及特定段属性
  • 保护模式-02.6 段描述符-winbg解析段描述符dgg指令代码实现_1
  • 保护模式-02.7 段描述符-winbg解析段描述符dgg指令代码实现_2
  • 保护模式-02.8 段描述符-winbg解析段描述符dgg指令代码实现_3
  • 保护模式-02.9 段描述符-属性探测P位
  • 保护模式-03.0 段描述符-属性探测G位
  • 保护模式-03.1 段描述符-属性探测DATA&DB
  • 保护模式-03.2 段描述符-属性探测CODE&C
  • 保护模式-03.3 段描述符-属性探测DB&CODE&STACK
  • 保护模式-03.4 调用门-代码跨段跳转及堆栈影响
  • 保护模式-03.5 调用门-提权与平权调用区别及执行流程
  • 保护模式-03.6 调用门-CallGate&Descriptor
  • 保护模式-03.7 调用门-字段解释与Privilege Check
  • 保护模式-03.8 调用门-Task Switching与任务堆栈TSS
  • 保护模式-03.9 调用门-Accessing a Code Segment Through a Call Gate
  • 保护模式-04.0 调用门-Task Switching During an Interprivilege-Level Call
  • 保护模式-04.1 调用门-Returning from a Called Procedure
  • 保护模式-04.2 调用门-驱动定位构建调用门描述符
  • 保护模式-04.3 调用门-调用门执行调试数据查看
  • 保护模式-04.4 中断门-Interrupt Descriptor Table
  • 保护模式-04.5 中断门-INT X指令执行流程与可屏蔽中断
  • 保护模式-04.6 中断门-中断陷阱门测试与IF标志位探测
  • 保护模式-04.7 任务门-TR&TSS&TASK GATE
  • 保护模式-04.8 任务门-任务段执行流程与JMPCALL区别及JMPCALL
  • 保护模式-04.9 任务门-任务段定位执行与CPU联机机制总结归总修复
  • 保护模式-05.0 分页模式-内存地址界限与分页模式种类
  • 保护模式-05.1 分页模式-CR3&PDPT&PD&PT&PHY
  • 保护模式-05.2 分页模式-线性地址转换物理地址拆解定位过程
  • 保护模式-05.3 分页模式-物理页挂页过程模拟复现
  • 保护模式-05.4 分页模式-Linear-Address Translatio & Attributen
  • 保护模式-05.5 分页模式-Page-Table Entry & P
  • 保护模式-05.6 分页模式-Page-Attributes
  • 保护模式-05.7 分页模式-共享内存0线性地址挂页模拟测试
  • 保护模式-05.8 分页模式-EXECUTE_WRITECOV内存映射与机制
  • 保护模式-05.9 分页模式-写拷贝页机制与分页数据劫持
  • 保护模式-06.0 分页模式-MisAddressValid逆向分析
  • 保护模式-06.1 分页模式-x86保护模式机制汇总
  • 保护模式-06.2 分页模式-x86保护模式机制汇总
  • 保护模式-06.3 保护模式-寄存器分类与控制寄存器CR0 CR4
  • 保护模式-06.4 保护模式-标志寄存器&状态&控制&系统标志位
  • 保护模式-06.5 保护模式-Translation Lookaside Buffers (TLB)
  • 保护模式-06.6 x64-64位操作系统配置与x86兼容模式
  • 保护模式-06.7 x64-初始化IA-32e模式及兼容模式核心
  • 保护模式-06.8 x64-RIP相对寻址机制
  • 保护模式-06.9 x64-Canonical地址定义与CPUID地址宽度解析
  • 保护模式-07.0 x64-段基址弱化与特殊段寄存器L&MSR属性定位
  • 保护模式-07.1 x64-64bit系统段描述符拓展及TSS64&IST中断表
  • 保护模式-07.2 x64-32BIT-PAGING&PAE PAGING&4-LEVEL PAGING
  • 保护模式-07.3 x64-Paging-Structure Entries with 4-Level Paging
  • 保护模式-07.4 x64-基于winbg通过线性地址定位物理地址
  • 保护模式-07.5 x64-页表喷射机制逆向分析与幽灵页表
  • 保护模式-07.6 x64-CVE-2017-5754与页表隔离机制
  • 保护模式-07.7 x64-页表映射与物理地址映射
  • 保护模式-07.8 x64-无附加挂载物理地址数据读写
  • 保护模式-07.9 x64-保护模式与后续系统底层机制关联性
  • 保护模式-08.0 x64-保护模式知识总结
  • 保护模式-08.1 x64-保护模式完结

系统调用

  • 系统调用-01.0x32-课程学习路线与前置要求
  • 系统调用-01.1x32-OpenProcess执行流程逆向分析
  • 系统调用-01.2 x32-ReadVirtualMemory执行流程逆向分析
  • 系统调用-01.3 x32-KUSER_SHARED_DATA及CPUID&SEP
  • 系统调用-01.4 x32-INT2E&KiSystemService
  • 系统调用-01.5 x32-用户态数据保存与KTRAP_FRAME
  • 系统调用-01.6 x32-KiSystemService逆向分析初始化
  • 系统调用-01.7 x32-SYSENTER指令执行与MSR数据获取
  • 系统调用-01.8 x32-KiFastCallEntry入口解析
  • 系统调用-01.9x32-内核堆栈切换与用户数据保存
  • 系统调用-02.0x32-系统调用号结构拆解与服务表关联
  • 系统调用-02.1x32-参数数量大小计算方式与内核函数执行
  • 系统调用-02.2x32-SSDTHOOK信息初始化
  • 系统调用-02.3 x32-管理数据INIT与函数定位
  • 系统调用-02.4 x32-Syscall提取与HookItem信息管理
  • 系统调用-02.5x32-CR0写保护关闭与SSDT函数指针替换
  • 系统调用-02.6x32-回调函数拦截与默认函数调用
  • 系统调用-02.7x32-代码测试与攻防角度考量
  • 系统调用-02.8 x64-User系统调用执行路线与syscall判断
  • 系统调用-02.9 x64-syscall指令执行路径与寄存器影响
  • 系统调用-03.0 x64-syscall权限切换环境变化
  • 系统调用-03.1 x64-KiSystemCall64陷阱帧初始化
  • 系统调用-03.2x64-内核函数解密定位与SSDT结构变化
  • 系统调用-03.3x64-函数参数空间计算与数据拷贝
  • 系统调用-03.4 x64-INT2E&SYSENTER&SYSCALL系统调用方式归纳对比

内核对象

  • 内核对象-1.0用户态下的句柄与内核对象关联性
  • 内核对象-1.1内核对象管理器运作机制
  • 内核对象-1.2 内核对象头与对象体&OBJECT_HEADER
  • 内核对象-1.3TypeIndex解密算法与对象类型定位
  • 内核对象-1.4 InfoMask可选信息块定位
  • 内核对象-1.5 TypeIndex类型解析与回调拦截回溯
  • 内核对象-1.6内核&进程私有&全局句柄表
  • 内核对象-1.7句柄存在的价值及保护进程小试牛刀
  • 内核对象-1.8句柄表层级结构解析
  • 内核对象-1.9通过句柄值回溯定位内核对象
  • 内核对象-2.0基于CE探测对象提权降权与保护机制
  • 内核对象-2.1通过PID在全局句柄表中定位内核对象
  • 内核对象-2.2不同类型句柄表的特性及内核函数逆向思路
  • 内核对象-2.3内核函数分析思路与统一处理流程
  • 内核对象-2.4 PsOpenProcess环境初始化与参数有效性验证
  • 内核对象-2.5PsOpenProcess安全审计与获取内核对象并转换写回句柄
  • 内核对象-2.6内核函数反汇编与伪代码结合WRK同步分析
  • 内核对象-2.7 PsLookupProcessByProcessId调用链
  • 内核对象-2.8 ExpLookupHandleTableEntry句柄定位内核对象
  • 内核对象-2.9 PspReferenceCidTableEntry对象解析引用
  • 内核对象-3.0 ObOpenObjectByPointer对象句柄转换并插入
  • 内核对象-3.1 ObReferenceObjectByPointerWithTag
  • 内核对象-3.2 ObfDereferenceObjectWithTag
  • 内核对象-3.3内核句柄表遍历与定位内核对象
  • 内核对象-3.4内核对象命名空间与路径解析
  • 内核对象-3.5命名空间整体架构与层次结构展开
  • 内核对象-3.6 根目录手动遍历命名空间
  • 内核对象-3.7C盘符号链接路径解析全流程
  • 内核对象-3.8x64内核对象头变化及对象类型解密
  • 内核对象-3.9x64句柄表结构变化与解密算法
  • 内核对象-4.0x64进程句柄表枚举解析框架
  • 内核对象-4.1x64句柄表定位与层级判断及句柄上限校验
  • 内核对象-4.2x64公式定位句柄表项对应内核对象及解码
  • 内核对象-4.3x64进程私有句柄表数据获取与句柄逆置
  • 内核对象-4.4x64保护进程防止黑名单进程打开对象
  • 内核对象-4.5x64进程句柄表保护降权与权限破坏
  • 内核对象-4.6 x64双架构下攻防一体测试与脱离API调用
  • 内核对象-4.7x64内核对象目录解析符号初始化
  • 内核对象-4.8x64目录对象类型名称符号数据解析
  • 内核对象-4.9x64对象可选信息解密与目录顶层遍历
  • 内核对象-5.0 x64实现windbglobject
  • 内核对象-5.1x64对象目录路径转换与层级过滤
  • 内核对象-5.2 x64指定路径目录对象定位
  • 内核对象-5.3 x64对象hash名称算法复现与测试
  • 内核对象-5.4x64内核对象学习路线与阶段汇总

进程管理

线程调度

内存管理

异常处理

调试体系

0xCC

教程资料购买后才能查看或下载。


版权所有:吉林省道科信息科技有限公司

备案号:吉ICP备2023000703号