×

天道酬勤驱动系列教材63课全高清无KEY版 提供

标签: 开发模型尼玛
天道酬勤驱动系列教材63课全高清无KEY版 - 尼玛VIP收集整理提供





目录:

一、基础篇--简单驱动模型

1.1 DDK及VC6.0/7.0/9.0的安装

   1.1.1 安装VC++6.0

   1.1.2 安装VS2003-VC++7.0

   1.1.2 安装VS2008-VC++9.0

   1.1.3 安装VC助手

   1.1.5 安装DDK

1.2驱动开发VC环境安装配置

1.2.1 VC6环境编译驱动

     A、VC6驱动编译配置

     B、VC6集成环境下编译驱动

1.2.2 VS2003环境编译驱动

     A、VC7驱动编译配置

     B、VC7集成环境下编译驱动

1.2.3 VS2008环境编译驱动-008

     A、VC9驱动编译配置

     B、VC9集成环境下编译驱动



1.3 NT式驱动

1.3.1编写一个名为DDK_HelloWorld简单的驱动

      A、VC6集成环境下书写代码

          驱动入口函数DriverEntry

          入口函数参数DriverObject和RegistryPath

      B、书写SOURCES文件

      C、书写makefile文件

      D、用DDK-Build环境编译

1.3.2为DDK_HelloWorld添加卸载例程

      A、输出调试信息-KdPrint

      B、认识PDRIVER_OBJECT结构

      C、注册驱动卸载例程

      D、卸载例程回调函数构建

      E、查看驱动调试信息

1.3.3 用工具过驱动保护(确定学习方向)

      A、用户层至内核的隐秘通道

      B、浅谈过保护原理

      C、实战过XX游戏驱动保护,让OD,CE正常附加调试

      D、小结

1.3.4为DDK_HelloWorld添加卸载驱动例程

      A、输出调试信息-KdPrint

      B、注册驱动卸载例程

      C、卸载例程回调函数构建

      D、PDRIVER_OBJECT结构

      E、查看驱动调试信息

1.3.5为DDK_HelloWorld添加设备例程

1.3.6为DDK_HelloWorld添加默认派遣例程

1.4 NT式驱动的安装

1.4.1 VC6下编译DDK_HelloWorld

       修改编译选项

       修改链接选项

       修改其它参数

  1.4.2、驱动的安装



1.5、WDM式驱动

   1.5.1 WDM驱动头文件

   1.5.2 WDM驱动入口函数

   1.5.3 AddDevice例程及参数

   1.5.4 WDM驱动处理PNP回调函数

   1.5.5 WDM对PNP的默认处理

   1.5.6 WDM对IRP的处理

   1.5.7WDM驱动的卸载例程

1.6 WDM式驱动的编译和安装

  1.6.1用DDK环境编译安装

  1.6.2 WDM的编译过程

  1.6.3安装WDM驱动

1.7从用户层的HOOK说起

  1.7.1ring3级的进程保护

  17.2 ring3级的进程隐藏

1.8 用户层到内核的通道

1.9 驱动代码中C和C++代码区别

  函数调用约定

  C和C++编译方式   

1.10 驱动编译方式详解

  1.10.1-DDK编译环境下的Build

   Free和Checked

   build工具

   makefile文件

   sources文件

   build工具环境变量

   build工具的命令行参数

1.10.2-VC集成环境下编译参数设置

编译选项C/C++ Project Option

链接选项Link Project Option

1.10.3 编译小结



二、中级篇

2.1用DbgView 查看驱动调试信息

  打印调试信息

  查看调试信息

2.2手动加载NT式驱动-(非工具)

2.3编写程序加载NT式驱动

  加载NT式驱动代码编写

  卸载NT式驱动代码编写

  测试

2.4驱动程序中的重要数据结构

   DRIVER_OBJECT

   DEVICE_OBJECT

2.5NT式驱动的基本结构

   驱动加载过程

   驱动入口函数

   驱动卸载例程

   用WindObj观察驱动

   用DeviceTree观看驱动

2.6驱动中的内存管理

  物理内存

  虚拟内存

  Ring0地址和Ring3地址

  驱动程序和进程的关系

  分页和非分页内存

  分配内核内存

  重载new和delete操作符

2.7在驱动中使用链表

  链表结构

  链表初始化

  从首部插入链表

  从尾部插入链表

  从链表中删除

2.8其它

  数据类型

  返回状态值

  检查内存的可用性

  异常处理try-except

  异常处理try-finally

  断言

2.9内核函数

2.9.1内核模式下的字串操作

ASCII字符串和UNICODE字符串

ANSI_STRING字符串和UNICODE_STRING字符串

字符串的初始化与销毁

字符串复制

字符串比较

字符串转化成大写

字符串与整型数字相互转换

ANSI_STRING字符串和UNICODE_STRING字符串相互转换

2.9.2内核模式下的文件操作

文件的创建

文件的打开

获取和修改文件属性

写文件和读文件

2.9.3 IRP和派遣函数

IRP和IRP类型

对IRP函数的处理

编写通用的IRP派遣函数

跟踪IRP的利器IRPTrace

三、进阶篇(进程保护,RootKit)

3.1应用层勾子

IAT HOOK

InLine HOOK

3.2内核勾子

3.2.1 SSDT HOOK

修改SSDT内存保护机制

勾住 SSDT

3.2.2 Shadow SSDT  

3.2.3 InLine HOOK

3.2.3 object HOOK  

3.2.4 IDT中断描述符表

3.2.5 IDT HOOK

3.2.6勾住 IDT

四、高级篇--驱动逆向

4.1单机调试驱动windbg+vmware

   4.1.1游戏反取色分析

   4.1.2游戏进程隐藏分析

   4.1.3游戏进程保护分析

4.2实战游戏驱动保护分析

   4.2.1 再谈过保护原理

   4.2.2 XX游戏XX 驱动分析

   4.2.3 XX游戏XX 驱动分析



下载地址

本帖隐藏的内容



链接: http://pan.baidu.com/s/1ntsSojR 密码: pug8



解压密码:www.hegouvip.com
阳光给力

写了 4 篇文章,拥有财富 20,被 0 人关注

您需要登录后才可以回帖 登录 | 网赚注册
B Color Link Quote Code Smilies

成为第一个吐槽的人

联系QQ:1150388920|长沙钢琴培训|网站地图|创富吧网赚论坛 |湘ICP备18012331号
Powered by 创富吧   © 2001-2019 Comsenz Inc.
返回顶部