《Windows 內(nèi)核安全編程技術(shù)實(shí)踐（第二版）》 是2023年申請(qǐng)登記（國(guó)著）的內(nèi)核安全開(kāi)發(fā)系列PDF電子書(shū)，作者是王瑞。本書(shū)圖文并茂、深入淺出、案例豐富，是Windows內(nèi)核開(kāi)發(fā)工程師的參考資料，也可供信息安全，軟件工程等相關(guān)專業(yè)本科及以上在校生學(xué)習(xí)參考。本書(shū)是近年來(lái)少見(jiàn)的關(guān)于揭秘AntiRootkit反內(nèi)核工具實(shí)現(xiàn)細(xì)節(jié)的相關(guān)書(shū)籍。

閱讀地址：https://github.com/lyshark/WindowsKernelBook

封面設(shè)計(jì)

內(nèi)容簡(jiǎn)介

Windows 內(nèi)核安全編程技術(shù)實(shí)踐（純64位），由作者多年技術(shù)積累編寫(xiě)而成，該書(shū)由淺入深、循序漸進(jìn)地介紹了 Windows 內(nèi)核程序的開(kāi)發(fā)方法與調(diào)試技巧。書(shū)如其名探索 Anti Rootkit 反內(nèi)核工具核心原理與技術(shù)實(shí)現(xiàn)細(xì)節(jié)，本書(shū)最大的特色在于每一節(jié)的例子都是經(jīng)過(guò)精挑細(xì)選的，具有很強(qiáng)的針對(duì)性。不同于市面上的多數(shù) 內(nèi)核開(kāi)發(fā) 系列叢書(shū)，本書(shū)是以內(nèi)核安全角度為切入點(diǎn)，以實(shí)戰(zhàn)角度出發(fā)，力求讓讀者通過(guò)親自動(dòng)手實(shí)驗(yàn)，掌握各類 Windows 內(nèi)核安全編程的相關(guān)技巧，學(xué)到盡可能多的 Windows 底層知識(shí)。 本書(shū)適用于中、高級(jí)系統(tǒng)安全工程師，同時(shí)也可用做高校計(jì)算機(jī)專業(yè)操作系統(tǒng)開(kāi)發(fā)實(shí)驗(yàn)課的補(bǔ)充教材。

書(shū)籍目錄

• 第一章：環(huán)境配置篇

• 1.1 配置驅(qū)動(dòng)開(kāi)發(fā)環(huán)境

• 1.2 配置驅(qū)動(dòng)開(kāi)發(fā)模板

• 1.3 配置驅(qū)動(dòng)雙機(jī)調(diào)試

• 1.3 測(cè)試模式過(guò)DSE簽名

• 第二章：基礎(chǔ)知識(shí)篇

• 2.1 內(nèi)核中的鏈表與結(jié)構(gòu)體

• 2.2 內(nèi)核中的自旋鎖結(jié)構(gòu)

• 2.3 內(nèi)核字符串轉(zhuǎn)換方法

• 2.4 內(nèi)核字符串拷貝與比較

• 2.5 探索DRIVER驅(qū)動(dòng)對(duì)象

• 2.6 內(nèi)核使用IO/DPC定時(shí)器

• 第三章：內(nèi)核驅(qū)動(dòng)通信篇

• 3.1 驅(qū)動(dòng)程序與應(yīng)用層簡(jiǎn)單通信

• 3.2 應(yīng)用DeviceIoContro開(kāi)發(fā)模板

• 3.3 應(yīng)用DeviceIoContro模板精講

• 3.4 通過(guò)SystemBuf與內(nèi)核層通信

• 3.5 通過(guò)ReadFile與內(nèi)核層通信

• 3.6 通過(guò)PIPE管道與內(nèi)核層通信

• 3.7 通過(guò)Async反向與內(nèi)核通信

• 3.8 運(yùn)用MDL映射實(shí)現(xiàn)多次通信

• 3.9 通過(guò)應(yīng)用層堆實(shí)現(xiàn)多次通信

• 3.10 基于事件同步的反向通信

• 第四章：內(nèi)核驅(qū)動(dòng)讀寫(xiě)篇

• 4.1 內(nèi)核遠(yuǎn)程堆分配與銷毀

• 4.2 內(nèi)核CR3切換讀寫(xiě)內(nèi)存

• 4.3 內(nèi)核MDL讀寫(xiě)進(jìn)程內(nèi)存

• 4.4 通過(guò)內(nèi)存拷貝讀寫(xiě)內(nèi)存

• 4.5 內(nèi)核R3與R0內(nèi)存映射拷貝

• 4.6 內(nèi)核進(jìn)程匯編與反匯編

• 4.7 內(nèi)核解析內(nèi)存四級(jí)頁(yè)表

• 4.8 內(nèi)核讀寫(xiě)內(nèi)存浮點(diǎn)數(shù)

• 4.9 內(nèi)核讀寫(xiě)內(nèi)存多級(jí)偏移

• 第五章：內(nèi)核SSDT枚舉篇

• 5.1 內(nèi)核枚舉SSDT表基址

• 5.2 內(nèi)核枚舉SSSDT表基址

• 第六章：內(nèi)核進(jìn)程線程篇

• 6.1 內(nèi)核中進(jìn)程與句柄互轉(zhuǎn)

• 6.2 內(nèi)核中枚舉進(jìn)線程與模塊

• 6.3 監(jiān)控進(jìn)程與線程對(duì)象操作

• 6.4 內(nèi)核監(jiān)控進(jìn)程與線程創(chuàng)建

• 6.5 內(nèi)核DKOM實(shí)現(xiàn)進(jìn)程隱藏

• 6.6 內(nèi)核中實(shí)現(xiàn)Dump進(jìn)程轉(zhuǎn)儲(chǔ)

• 6.7 內(nèi)核遍歷進(jìn)程VAD結(jié)構(gòu)體

• 6.8 運(yùn)用VAD隱藏R3內(nèi)存思路

• 6.9 內(nèi)核摘鏈DKOM進(jìn)程隱藏

• 6.10 內(nèi)核無(wú)痕隱藏自身分析

• 6.11 內(nèi)核強(qiáng)制結(jié)束進(jìn)程運(yùn)行

• 第七章：內(nèi)核模塊篇

• 7.1 內(nèi)核判斷驅(qū)動(dòng)加載狀態(tài)

• 7.2 內(nèi)核取ntoskrnl模塊基地址

• 7.3 內(nèi)核取應(yīng)用層模塊基地址

• 7.4 內(nèi)核通過(guò)PEB取進(jìn)程參數(shù)

• 7.5 斷鏈隱藏驅(qū)動(dòng)程序自身

• 7.6 內(nèi)核特征碼搜索函數(shù)封裝

• 7.7 內(nèi)核LDE引擎計(jì)算匯編長(zhǎng)度

• 7.8 內(nèi)核層InlineHook掛鉤函數(shù)

• 7.9 摘除InlineHook內(nèi)核鉤子

• 7.10 取進(jìn)程模塊的函數(shù)地址

• 第八章：內(nèi)核枚舉篇

• 8.1 內(nèi)核枚舉IoTimer定時(shí)器

• 8.2 內(nèi)核枚舉DpcTimer定時(shí)器

• 8.3 內(nèi)核枚舉PspCidTable句柄表

• 8.4 內(nèi)核枚舉Minifilter微過(guò)濾驅(qū)動(dòng)

• 8.5 內(nèi)核枚舉LoadImage映像回調(diào)

• 8.6 內(nèi)核枚舉Registry注冊(cè)表回調(diào)

• 8.7 內(nèi)核枚舉進(jìn)線程O(píng)bCall回調(diào)

• 第九章：內(nèi)核監(jiān)控篇

• 9.1 內(nèi)核監(jiān)控進(jìn)程與線程回調(diào)

• 9.2 內(nèi)核注冊(cè)并監(jiān)控對(duì)象回調(diào)

• 9.3 內(nèi)核監(jiān)視LoadImage映像回調(diào)

• 9.4 內(nèi)核運(yùn)用LoadImage屏蔽驅(qū)動(dòng)

• 9.5 內(nèi)核監(jiān)控Register注冊(cè)表回調(diào)

• 9.6 內(nèi)核監(jiān)控FileObject文件回調(diào)

• 第十章：內(nèi)核網(wǎng)絡(luò)通信篇

• 10.1 內(nèi)核封裝WSK網(wǎng)絡(luò)通信接口

• 10.2 內(nèi)核封裝TDI網(wǎng)絡(luò)通信接口

• 10.3 內(nèi)核封裝WFP防火墻入門(mén)

• 第十一章：內(nèi)核PE結(jié)構(gòu)篇

• 11.1 內(nèi)核特征掃描PE代碼段

• 11.2 內(nèi)核解析PE結(jié)構(gòu)導(dǎo)出表

• 11.3 內(nèi)核解析PE結(jié)構(gòu)節(jié)表

• 11.4 內(nèi)核PE結(jié)構(gòu)VA與FOA轉(zhuǎn)換

• 11.5 內(nèi)核實(shí)現(xiàn)SSDT掛鉤與摘鉤

• 11.6 內(nèi)核掃描SSDT掛鉤狀態(tài)

• 11.7 PE導(dǎo)出函數(shù)與RVA轉(zhuǎn)換

• 11.8 內(nèi)核RIP劫持實(shí)現(xiàn)DLL注入

• 11.9 內(nèi)核遠(yuǎn)程線程實(shí)現(xiàn)DLL注入

• 11.10 內(nèi)核LoadLibrary實(shí)現(xiàn)DLL注入

• 11.11 內(nèi)核級(jí)ShellCode線程注入技術(shù)

• 第十二章：內(nèi)核文件與注冊(cè)表篇

• 12.1 內(nèi)核文件讀寫(xiě)系列函數(shù)

• 12.2 內(nèi)核解鎖與強(qiáng)刪文件

• 12.3 內(nèi)核遍歷文件或目錄

• 12.4 文件微過(guò)濾驅(qū)動(dòng)入門(mén)

• 12.5 內(nèi)核注冊(cè)表增刪改查

附錄

《Windows 內(nèi)核安全編程技術(shù)實(shí)踐課件》

鏈接:?https://pan.baidu.com/s/1HajNPhpcpJHyQ6KIc5GxUA?pwd=like

法律警告

本書(shū)內(nèi)容首發(fā)于博客園，根據(jù)《中華人民共和國(guó)著作權(quán)法》相關(guān)規(guī)定本人享有著作權(quán)，本書(shū)的發(fā)放僅用于技術(shù)交流學(xué)習(xí)，本書(shū)內(nèi)容免費(fèi)，禁止第三方倒賣(mài)，如果您在第三方購(gòu)買(mǎi)到本書(shū)請(qǐng)與作者聯(lián)系，作者將追究倒賣(mài)者法律責(zé)任，純凈的技術(shù)交流需要你我共同來(lái)維護(hù)，感謝您閱讀并支持作者的創(chuàng)作。