WINDOWS 內(nèi)核學習順序指引清單

前言

鑒于很多同學想學習 逆向工程,，但是找不到切入點導(dǎo)致無從入手，因此編寫了這個指引清單,。

本文原則上只是一個學習指引目錄（雖然部分章節(jié)有提供一些資料）,，因涉及知識面太多，具體內(nèi)容以后再逐漸填充,。

有興趣的同學可根據(jù)指引清單,，先行逐步擴展學習每個知識點。當整個清單都弄懂了,，也就入門了（對的,，你沒看錯，只是入門）,。

1. 基礎(chǔ)知識

1.1. 驅(qū)動框架（NT和WDM）

• 《NT - WDM - WDF 驅(qū)動概念》

1.2. 驅(qū)動基礎(chǔ)（編程概念,、內(nèi)核函數(shù)、基本數(shù)據(jù)結(jié)構(gòu)等等）

• 《WDM驅(qū)動程序的基本結(jié)構(gòu)和實例》
• 《Windows驅(qū)動開發(fā)常用的數(shù)據(jù)結(jié)構(gòu)》
• 《內(nèi)存管理》
• 《CE驅(qū)動開發(fā)常用宏定義》
• 《windows 內(nèi)核函數(shù)前綴解析》
• 《Windows常用內(nèi)核函數(shù)》

1.3. 驅(qū)動通信（R3主動與R0通信,、R0主動與R3交互）

• R3：用戶層
• R0：內(nèi)核層
• 《ring0和ring3的區(qū)別》

1.4. 基本操作（系統(tǒng)線程,、工作隊列、計時器,、字符串,、內(nèi)存、鏈表等等等等）

......

2. 進程相關(guān)

2.1. 枚舉進程（PID,、EPROCESS,、進程路徑等）

• 《四種方法實現(xiàn)VC枚舉系統(tǒng)當前進程》
• 《C++枚舉進程的方法》
• 《IsWow64Process函數(shù)理解的偏差》

2.2. 結(jié)束進程（多種方法）

......

2.3. 掛起進程

......

2.4. 恢復(fù)進程

......

2.5. 保護進程（API HOOK、回調(diào)）

......

2.6. 隱藏進程（API HOOK、DKOM）

......

2.7. 枚舉線程

......

2.8. 結(jié)束線程（多種方法）

......

2.9. 掛起線程

......

2.10. 恢復(fù)線程

......

2.11. 枚舉DLL（多種方法）

......

2.12. 卸載DLL

......

2.13. 注入DLL/SHELLCODE（NT6注入到系統(tǒng)進程）

......

2.14. RING3 INLINE HOOK/UNHOOK/繞過（多種方法）

......

2.15. RING3 EAT HOOK/UNHOOK

......

2.16. RING3 IAT HOOK/UNHOOK

......

2.17. 窗口操作（枚舉,、發(fā)消息,、隱藏/顯示、啟用/禁用等）

......

2.18. 內(nèi)存操作（枚舉,、申請,、釋放、讀寫,、修改保護類型等）

......

2.19. 消息鉤子（枚舉,、刪除）

......

2.20. 內(nèi)核回調(diào)表（枚舉、清除HOOK）

......

2.21. 枚舉句柄

......

2.22. .關(guān)閉句柄

......

2.23. 監(jiān)控進程創(chuàng)建/退出（API HOOK,、回調(diào)）

......

2.24. 監(jiān)控線程創(chuàng)建/退出（API HOOK、回調(diào)）

......

2.25. 監(jiān)控DLL加載（API HOOK,、回調(diào)）

......

3. 文件相關(guān)

3.1. API層文件操作（枚舉,、復(fù)制、刪除,、重命名）

......

3.2. FSD層文件操作（枚舉,、復(fù)制、刪除,、重命名）

......

3.3. DISK層文件操作（讀寫）

......

3.4. 解析NTFS/FAT32

......

3.5. 監(jiān)控文件操作（API HOOK,、SFILTER、MINIFILTER）

......

4. 注冊表相關(guān)

4.1. API層注冊表操作（枚舉,、新建,、刪除、重命名）

......

4.2. 解析HIVE操作注冊表

......

4.3. 監(jiān)控注冊表操作（API HOOK,、回調(diào),、DKOH）

......

5. HOOK相關(guān)

5.1. SSDT HOOK/UNHOOK（包括SHADOW SSDT）

......

5.2. INLINE HOOK/UNHOOK/繞過（多種方法）

......

5.3. IRP HOOK

......

5.4. OBJECT HOOK/UNHOOK

......

5.5. IDT HOOK/UNHOOK

......

5.6. EAT HOOK/UNHOOK

......

5.7. IAT HOOK/UNHOOK

......

5.8. MSR HOOK/UNHOOK

......

6. 內(nèi)核相關(guān)

6.1. 枚舉內(nèi)核模塊（鏈表、目錄對象,、暴搜）

......

6.2. 監(jiān)控驅(qū)動加載（API HOOK,、回調(diào)）

......

6.3. 枚舉/刪除回調(diào)（進程、線程,、映像,、注冊表、藍屏,、關(guān)機,、對象、文件系統(tǒng)改變）

......

6.4. 枚舉/刪除定時器（IO/DPC）

......

6.5. 枚舉GDT

......

7. 網(wǎng)絡(luò)相關(guān)

7.1. 內(nèi)核網(wǎng)絡(luò)通信（TDI,、WSK）

......

7.2. 監(jiān)控網(wǎng)絡(luò)通信（WFP,、TDI HOOK、NDIS HOOK、NDIS FILTER）

......

7.3. 枚舉網(wǎng)絡(luò)連接（API方法,、發(fā)IRP法）

......

7.4. 枚舉/掛鉤NDIS處理函數(shù)

......

7.5. 流量統(tǒng)計/下載限速

......

7.6. 端口復(fù)用

......

8. 64位系統(tǒng)專用

8.1. 破解PATCHGUARD（動態(tài)/靜態(tài)）

• 《過Patchguard的梗》
• 《過patchguard源碼》
• 《在Win7x64上加載無簽名驅(qū)動以及讓PatchGuard失效(Win7x64內(nèi)核越獄)》
• 《讓PatchGuard變狗屎的那些方法》

8.2. 破解DSE（動態(tài)/靜態(tài)）

• 《攻破WIN7~WIN10的KPP和DSE（WIN64內(nèi)核越獄）》
• 《WIN64免簽名加載驅(qū)動SDK》
• 《神奇的內(nèi)核路徑欺騙》
• 《Win7x64全自動無提示破解PatchGuard和Driver Signature Enforcement》
• 《在Win64系統(tǒng)上動態(tài)加載無簽名驅(qū)動：WIN64UDL》
• 《Win7 x64動態(tài)開啟DSE》

9. 雜項

9.1. 對象劫持

......

9.2. 符號操作

......

9.3. PE解析

......

9.4. 反調(diào)試

......

10. 整體項目

10.1. PE工具

......

10.2. ARK

......

10.3. 調(diào)試器

......

10.4. 主動防御

......

10.5. 沙箱

......

10.6. 透明加密

......

10.7. VT級調(diào)試/反調(diào)試/主動防御

......

11. 其他

11.1. MFC開發(fā)