天道酬勤过驱动保护第一套63节高清版

柠檬

一、基础篇--简单驱动模型
1.1 DDK及VC6.0/7.0/9.0的安装
   1.1.1 安装VC++6.0
   1.1.2 安装VS2003-VC++7.0
   1.1.3 安装VS2008-VC++9.0
   1.1.4 安装VC助手
   1.1.5 安装DDK
1.2驱动开发VC环境安装配置
1.2.1 VC6环境编译驱动
     A、VC6驱动编译配置
     B、VC6集成环境下编译驱动
1.2.2 VS2003环境编译驱动
     A、VC7驱动编译配置
     B、VC7集成环境下编译驱动
1.2.3 VS2008环境编译驱动-008
     A、VC9驱动编译配置
     B、VC9集成环境下编译驱动

1.3 NT式驱动
1.3.1编写一个名为DDK_HelloWorld简单的驱动
      A、VC6集成环境下书写代码
          驱动入口函数DriverEntry
          入口函数参数DriverObject和RegistryPath
      B、书写SOURCES文件
      C、书写makefile文件
      D、用DDK-Build环境编译

1.3.2为DDK_HelloWorld添加卸载例程
      A、输出调试信息-KdPrint
      B、认识PDRIVER_OBJECT结构
      C、注册驱动卸载例程
      D、卸载例程回调函数构建
      E、查看驱动调试信息
1.3.3 用工具过驱动保护(确定学习方向)
      A、用户层至内核的隐秘通道
      B、浅谈过保护原理
      C、实战过XX游戏驱动保护,让OD,CE正常附加调试
      D、小结
1.3.4为DDK_HelloWorld添加卸载驱动例程
      A、输出调试信息-KdPrint
      B、注册驱动卸载例程
      C、卸载例程回调函数构建
      D、PDRIVER_OBJECT结构
      E、查看驱动调试信息
1.3.5为DDK_HelloWorld添加设备例程
1.3.6为DDK_HelloWorld添加默认派遣例程
1.4 NT式驱动的安装
1.4.1 VC6下编译DDK_HelloWorld
       修改编译选项
       修改链接选项
       修改其它参数
  1.4.2、驱动的安装

1.5、WDM式驱动
   1.5.1 WDM驱动头文件
   1.5.2 WDM驱动入口函数
   1.5.3 AddDevice例程及参数
   1.5.4 WDM驱动处理PNP回调函数
   1.5.5 WDM对PNP的默认处理
   1.5.6 WDM对IRP的处理
   1.5.7WDM驱动的卸载例程
1.6 WDM式驱动的编译和安装
  1.6.1用DDK环境编译安装
  1.6.2 WDM的编译过程
  1.6.3安装WDM驱动
1.7从用户层的HOOK说起
  1.7.1ring3级的进程保护
  17.2 ring3级的进程隐藏
1.8 用户层到内核的通道
1.9 驱动代码中C和C++代码区别
  函数调用约定
  C和C++编译方式   
1.10 驱动编译方式详解
  1.10.1-DDK编译环境下的Build
   Free和Checked
   build工具
   makefile文件
   sources文件
   build工具环境变量
   build工具的命令行参数
1.10.2-VC集成环境下编译参数设置
编译选项C/C++ Project Option
链接选项Link Project Option
1.10.3 编译小结

二、中级篇
2.1用DbgView 查看驱动调试信息
  打印调试信息
  查看调试信息
2.2手动加载NT式驱动-（非工具)
2.3编写程序加载NT式驱动
  加载NT式驱动代码编写
  卸载NT式驱动代码编写
  测试
2.4驱动程序中的重要数据结构
   DRIVER_OBJECT
   DEVICE_OBJECT
2.5NT式驱动的基本结构
   驱动加载过程
   驱动入口函数
   驱动卸载例程
   用WindObj观察驱动
   用DeviceTree观看驱动
2.6驱动中的内存管理
  物理内存
  虚拟内存
  Ring0地址和Ring3地址
  驱动程序和进程的关系
  分页和非分页内存
  分配内核内存
  重载new和delete操作符
2.7在驱动中使用链表
  链表结构
  链表初始化
  从首部插入链表
  从尾部插入链表
  从链表中删除
2.8其它
  数据类型
  返回状态值
  检查内存的可用性
  异常处理try-except
  异常处理try-finally
  断言
2.9内核函数
2.9.1内核模式下的字串操作
ASCII字符串和UNICODE字符串
ANSI_STRING字符串和UNICODE_STRING字符串
字符串的初始化与销毁
字符串复制
字符串比较
字符串转化成大写
字符串与整型数字相互转换
ANSI_STRING字符串和UNICODE_STRING字符串相互转换
2.9.2内核模式下的文件操作
文件的创建
文件的打开
获取和修改文件属性
写文件和读文件
2.9.3 IRP和派遣函数
IRP和IRP类型
对IRP函数的处理
编写通用的IRP派遣函数
跟踪IRP的利器IRPTrace
三、进阶篇(进程保护，RootKit)
3.1应用层勾子
IAT HOOK
InLine HOOK
3.2内核勾子
3.2.1 SSDT HOOK
修改SSDT内存保护机制
勾住 SSDT
3.2.2 Shadow SSDT  
3.2.3 InLine HOOK
3.2.3 object HOOK  
3.2.4 IDT中断描述符表
3.2.5 IDT HOOK
3.2.6勾住 IDT

四、高级篇--驱动逆向
4.1单机调试驱动windbg+vmware
   4.1.1游戏反取色分析
   4.1.2游戏进程隐藏分析
   4.1.3游戏进程保护分析
4.2实战游戏驱动保护分析
   4.2.1 再谈过保护原理
   4.2.2 XX游戏XX 驱动分析
   4.2.3 XX游戏XX 驱动分析

游客，如果您要查看本帖隐藏内容请回复

多肉

路过 帮顶 嘿嘿

LOVE不在等待

好，很好，非常好！

惠州忠仔

看起来不错

xiao0715

这么强,支持楼主，佩服

红la4ejc

顶顶更健康

程阿宝

没人回帖。。。我来个吧

花瓣雨的泪珠

发发呆，回回帖，工作结束~

王鼠狼

报告！别开枪，我就是路过来看看的。。。

断了铉

鼎力支持！！