WIN64驱动编程基础教程(福利:过WIN788.1签名强制的LIB、过WIN7“补丁守卫。。。
⼤家好,我是Tesla.Angela。
这份教程本来是拿来出售的,不过由于某些原因导致部分章节出现在了互联⽹上,于是决定彻底公开了。
详细⽬录如下:
0.基础的基础
课外阅读的重要性
|-学习WIN64驱动开发的硬件准备
|-配置驱动开发环境
------------------------------
1.驱动级HelloWorld
|-配置驱动测试环境
|-编译和加载内核HelloWorld
------------------------------
2.内核编程基础
|-WIN64内核编程的基本规则
|-驱动程序与应⽤程序通信
|-内核⾥使⽤内存
|-内核⾥操作字符串
|-内核⾥操作⽂件
|-内核⾥操作注册表
|-内核⾥操作进线程
|-驱动⾥的其它常⽤代码
有内涵的霸气的小组名
------------------------------
3.内核HOOK与UNHOOK
|-系统调⽤、WOW64与兼容模式
|-编程实现突破WIN7的PatchGuard
|-系统服务描述表结构详解
|-SSDT HOOK和UNHOOK
手工制作小动物|-SHADOW SSDT HOOK和UNHOOK
|-INLINE HOOK和UNHOOK
------------------------------
4.⽆HOOK监控技术
|-⽆HOOK监控进线程启动和退出
|-⽆HOOK监控模块加载
|-⽆HOOK监控注册表操作
|-⽆HOOK监控⽂件操作
|-⽆HOOK监控进线程句柄操作
|-使⽤对象回调监视⽂件访问
|-⽆HOOK监控⽹络访问
|-⽆HOOK监视修改时间
------------------------------
5.零散内容
|-驱动⾥实现内嵌汇编
|-DKOM隐藏进程+保护进程
|-枚举和隐藏内核模块
|-强制结束进程
|-强制读写进程内存
篮球规则大全|-枚举消息钩⼦
|-强制解锁⽂件
|-初步探索PE32+格式⽂件
------------------------------
6.⽤户态HOOK与UNHOOK
|-RING3注射DLL到系统进程
|-RING3的INLINE HOOK和UNHOOK
|-RING3的EAT HOOK和IAT HOOK
------------------------------
disappointed7.反回调
|-枚举与删除创建进线程回调
两个字网名女|-枚举与删除加载映像回调
|-枚举与删除注册表回调
|-枚举与对抗MiniFilter
|-枚举与删除对象回调
值得⼀提的是,这份教程的附件⾥,包含了⼀个过“数字签名强制”(DSE)的LIB,只要在程序⾥包含了这个LIB,就能⽆视DSE直接加载未签名的驱动。当然,这个LIB只⽀持WIN7、WIN8和WIN8.1,对于未出现的系统,是不可能⽀持的。原理在此有说明:。警告:此LIB仅为⽅便各位⽹友学习WIN64驱动编程,禁⽌⽤于⼀切⾮法⽤途。如果⽤于⾮法⽤途,作者不为此负任何连带责任。
本教程由于编写仓促,难免有错漏之处,欢迎指出。不过本教程的代码绝对没有故意插⼊的错误,所有代码都能“即抄即⽤”。
下载地址:(如果您觉得有⽤,请帮我点个“致谢”)
阿德福韦脂欢迎访问我的论坛:
如果对教程的内容有疑惑,请到我的论坛提问。因为本⼈不愿意与某些⼈发⽣任何争执,所以⼀般不会在看雪回复任何帖⼦。
欢迎加⼊我的内核编程群:204267013
欢迎使⽤我的ARK类⼯具WIN64AST:
另外,原来的“WIN64内核编程基础班”已升级为“WINDOWS内核编程VIP讨论组”,欢迎加⼊,详情请加群后与群主私聊。
感谢以下在公开之前就购买了教程的VIP会员,给了我很⼤动⼒去完成整部教程:whitesilt、Mystery Of Panda、FFFFFFFE、我为你疯狂、沧海浮萍、virtual、LD、★⼂隨⼼灬、猪⼆、Phevos、你的⾹⽓...、YES、cyycoish、QQ392XX897、我⼼永恒、沙洲冷、201724、七巧软
件、Flhawker、Rlcupk
2014-05-05补充:
⽆签名驱动加载⼯具(⽅便测试教程⾥的驱动)
链接:
注意:使⽤之前请认真阅读免责声明,在您使⽤的时候代表您已认同了程序附带的免责声明。
2014-05-12补充:
原版的HOOK (S)SSDT代码有⼩BUG,会导致HOOK超过4个参数的函数出问题。
链接:
2014-05-17补充:
【转载】吊销的正式版数字签名(可以替代过DSE的LIB的作⽤)
山东远程研修链接:
2014-06-11补充:
破解VISTA、7、8、8.1的PATCHGUARD的⼯具
2014-07-12补充:
“⽬录重新编排”版本
