《Windows 內(nèi)核安全編程技術(shù)實(shí)踐》，這是一本W(wǎng)indows 10內(nèi)核安全開發(fā)系列叢書，探索 AntiRootKit 反內(nèi)核工具核心原理與技術(shù)實(shí)現(xiàn)細(xì)節(jié)，揭開ARK工具的神秘面紗，本書以實(shí)戰(zhàn)角度出發(fā)摒棄了大量無用的專業(yè)術(shù)語，歡迎閱讀并提出建議。

Github 閱讀地址:?https://github.com/lyshark/WindowsKernelBook

Gitee閱讀地址：https://gitee.com/lyshark/WindowsKernelBook

封面設(shè)計(jì)

內(nèi)容簡(jiǎn)介

《Windows 內(nèi)核安全編程技術(shù)實(shí)踐》是一本W(wǎng)indows 10 x64內(nèi)核安全開發(fā)系列叢書，本書是LyShark多年的技術(shù)積累編寫而成，不同于市面上的多數(shù)內(nèi)核開發(fā)系列叢書，本書是以底層安全角度為切入點(diǎn)忽略了驅(qū)動(dòng)開發(fā)中項(xiàng)目實(shí)踐部分，LyShark發(fā)現(xiàn)多數(shù)叢書都會(huì)攜帶太多的技術(shù)概念，這些概念并不利于技術(shù)實(shí)踐，本書將忽略太多沒有意義的專業(yè)術(shù)語，所有文章均以實(shí)戰(zhàn)角度出發(fā)，由簡(jiǎn)入深遞進(jìn)式教學(xué)，通過學(xué)習(xí)本書你可掌握`反內(nèi)核`工具是如何實(shí)現(xiàn)的，這些技術(shù)細(xì)節(jié)相信市面上你絕對(duì)學(xué)不到，或者找到的都是過時(shí)的，LyShark追求高質(zhì)量文章，保證每一篇文章都是可被直接應(yīng)用。

撰寫初衷

某一天，筆者想要實(shí)現(xiàn)一款A(yù)RK反內(nèi)核工具，在找資料時(shí)發(fā)現(xiàn)市面上多數(shù)ARK工具都經(jīng)過了VMP高強(qiáng)度加密，內(nèi)核代碼尤為寶貴這一點(diǎn)可以被理解，多數(shù)有源碼的項(xiàng)目也都是過時(shí)的無法正常使用，故想要將ARK反內(nèi)核工具功能在最新版本的Windows 10 x64系統(tǒng)上面實(shí)現(xiàn)，既可以整理歸納自己的知識(shí)體系，也可以幫助更多底層愛好者學(xué)習(xí)內(nèi)核開發(fā)技術(shù)，讓更多安全愛好者從中受益。

法律警告

本書內(nèi)容首發(fā)于博客園，根據(jù)《中華人民共和國著作權(quán)法》相關(guān)規(guī)定本人享有著作權(quán)，本書的發(fā)放僅用于技術(shù)交流學(xué)習(xí)，本書內(nèi)容免費(fèi)，禁止第三方倒賣，如果您在第三方購買到本書請(qǐng)與作者聯(lián)系，作者(LyShark)將追究倒賣者法律責(zé)任，純凈的技術(shù)交流需要你我共同來維護(hù)，感謝您閱讀并支持作者的創(chuàng)作。

書籍目錄

• 第一章：環(huán)境配置篇

• 1.1 配置驅(qū)動(dòng)開發(fā)環(huán)境

• 1.2 配置驅(qū)動(dòng)開發(fā)模板

• 1.3 配置驅(qū)動(dòng)雙機(jī)調(diào)試

• 1.4 測(cè)試模式過DSE簽名

• 第二章：基礎(chǔ)知識(shí)篇

• 2.1 內(nèi)核中的鏈表與結(jié)構(gòu)體

• 2.2 內(nèi)核中的自旋鎖結(jié)構(gòu)

• 2.3 內(nèi)核字符串轉(zhuǎn)換方法

• 2.4 內(nèi)核字符串拷貝與比較

• 2.5 探索DRIVER驅(qū)動(dòng)對(duì)象

• 2.6 內(nèi)核使用IO/DPC定時(shí)器

• 第三章：內(nèi)核驅(qū)動(dòng)通信篇

• 3.1 驅(qū)動(dòng)程序與應(yīng)用層簡(jiǎn)單通信

• 3.2 應(yīng)用DeviceIoContro開發(fā)模板

• 3.3 應(yīng)用DeviceIoContro模板精講

• 3.4 通過SystemBuf與內(nèi)核層通信

• 3.5 通過ReadFile與內(nèi)核層通信

• 3.6 通過PIPE管道與內(nèi)核層通信

• 3.7 通過Async反向與內(nèi)核通信

• 3.8 運(yùn)用MDL映射實(shí)現(xiàn)多次通信

• 3.9 通過應(yīng)用層堆實(shí)現(xiàn)多次通信

• 3.10 基于事件同步的反向通信

• 第四章：內(nèi)核驅(qū)動(dòng)讀寫篇

• 4.1 內(nèi)核遠(yuǎn)程堆分配與銷毀

• 4.2 內(nèi)核CR3切換讀寫內(nèi)存

• 4.3 內(nèi)核MDL讀寫進(jìn)程內(nèi)存

• 4.4 通過內(nèi)存拷貝讀寫內(nèi)存

• 4.5 內(nèi)核R3與R0內(nèi)存映射拷貝

• 4.6 內(nèi)核進(jìn)程匯編與反匯編

• 4.7 內(nèi)核解析內(nèi)存四級(jí)頁表

• 4.8 內(nèi)核讀寫內(nèi)存浮點(diǎn)數(shù)

• 4.9 內(nèi)核讀寫內(nèi)存多級(jí)偏移

• 4.10 內(nèi)核物理內(nèi)存尋址讀寫

• 第五章：內(nèi)核SSDT枚舉篇

• 5.1 內(nèi)核枚舉SSDT表基址

• 5.2 內(nèi)核枚舉SSSDT表基址

• 第六章：內(nèi)核進(jìn)程線程篇

• 6.1 內(nèi)核中進(jìn)程與句柄互轉(zhuǎn)

• 6.2 內(nèi)核中枚舉進(jìn)線程與模塊

• 6.3 監(jiān)控進(jìn)程與線程對(duì)象操作

• 6.4 內(nèi)核監(jiān)控進(jìn)程與線程創(chuàng)建

• 6.5 內(nèi)核DKOM實(shí)現(xiàn)進(jìn)程隱藏

• 6.6 內(nèi)核中實(shí)現(xiàn)Dump進(jìn)程轉(zhuǎn)儲(chǔ)

• 6.7 內(nèi)核遍歷進(jìn)程VAD結(jié)構(gòu)體

• 6.8 運(yùn)用VAD隱藏R3內(nèi)存思路

• 6.9 內(nèi)核摘鏈DKOM進(jìn)程隱藏

• 6.10 內(nèi)核無痕隱藏自身分析

• 6.11 內(nèi)核強(qiáng)制結(jié)束進(jìn)程運(yùn)行

• 第七章：內(nèi)核模塊篇

• 7.1 內(nèi)核判斷驅(qū)動(dòng)加載狀態(tài)

• 7.2 內(nèi)核取ntoskrnl模塊基地址

• 7.3 內(nèi)核取應(yīng)用層模塊基地址

• 7.4 內(nèi)核通過PEB取進(jìn)程參數(shù)

• 7.5 斷鏈隱藏驅(qū)動(dòng)程序自身

• 7.6 內(nèi)核特征碼搜索函數(shù)封裝

• 7.7 內(nèi)核LDE引擎計(jì)算匯編長(zhǎng)度

• 7.8 內(nèi)核層InlineHook掛鉤函數(shù)

• 7.9 摘除InlineHook內(nèi)核鉤子

• 7.10 取進(jìn)程模塊的函數(shù)地址

• 第八章：內(nèi)核枚舉篇

• 8.1 內(nèi)核枚舉IoTimer定時(shí)器

• 8.2 內(nèi)核枚舉DpcTimer定時(shí)器

• 8.3 內(nèi)核枚舉PspCidTable句柄表

• 8.4 內(nèi)核枚舉Minifilter微過濾驅(qū)動(dòng)

• 8.5 內(nèi)核枚舉LoadImage映像回調(diào)

• 8.6 內(nèi)核枚舉Registry注冊(cè)表回調(diào)

• 8.7 內(nèi)核枚舉進(jìn)線程ObCall回調(diào)

• 第九章：內(nèi)核監(jiān)控篇

• 9.1 內(nèi)核監(jiān)控進(jìn)程與線程回調(diào)

• 9.2 內(nèi)核注冊(cè)并監(jiān)控對(duì)象回調(diào)

• 9.3 內(nèi)核監(jiān)視LoadImage映像回調(diào)

• 9.4 內(nèi)核運(yùn)用LoadImage屏蔽驅(qū)動(dòng)

• 9.5 內(nèi)核監(jiān)控Register注冊(cè)表回調(diào)

• 9.6 內(nèi)核監(jiān)控FileObject文件回調(diào)

• 第十章：內(nèi)核網(wǎng)絡(luò)通信篇

• 10.1 內(nèi)核封裝WSK網(wǎng)絡(luò)通信接口

• 10.2 內(nèi)核封裝TDI網(wǎng)絡(luò)通信接口

• 10.3 內(nèi)核封裝WFP防火墻入門

• 第十一章：內(nèi)核PE結(jié)構(gòu)篇

• 11.1 內(nèi)核特征掃描PE代碼段

• 11.2 內(nèi)核解析PE結(jié)構(gòu)導(dǎo)出表

• 11.3 內(nèi)核解析PE結(jié)構(gòu)節(jié)表

• 11.4 內(nèi)核PE結(jié)構(gòu)VA與FOA轉(zhuǎn)換

• 11.5 內(nèi)核實(shí)現(xiàn)SSDT掛鉤與摘鉤

• 11.6 內(nèi)核掃描SSDT掛鉤狀態(tài)

• 11.7 PE導(dǎo)出函數(shù)與RVA轉(zhuǎn)換

• 11.8 內(nèi)核RIP劫持實(shí)現(xiàn)DLL注入

• 11.9 內(nèi)核遠(yuǎn)程線程實(shí)現(xiàn)DLL注入

• 11.10 內(nèi)核LoadLibrary實(shí)現(xiàn)DLL注入

• 11.11 內(nèi)核級(jí)ShellCode線程注入技術(shù)

• 第十二章：內(nèi)核文件與注冊(cè)表篇

• 12.1 內(nèi)核文件讀寫系列函數(shù)

• 12.2 內(nèi)核解鎖與強(qiáng)刪文件

• 12.3 內(nèi)核遍歷文件或目錄

• 12.4 文件微過濾驅(qū)動(dòng)入門

• 12.5 內(nèi)核注冊(cè)表增刪改查

許可協(xié)議

CC BY-NC-ND 4.0

中華人民共和國著作權(quán)法