《Windows内核分析》专题-索引目录

 

 

 

这里整理了《Windows内核分析》专题的各篇博文,方便查找。

二进制中的数学换算

常用汇编指令集合

驱动内核函数汇总

windbg 常调用指令

 

滴水视频汇总

  1. PE文件
  2. 系统调用
  3. APC
  4. 进程与线程
  5. 等待对象
  6. 异常(1)
  7. 异常(2) --- 编译器对于SEH异常的拓展
  8. 软件调试
  9. 消息机制
  10. 内存管理
  11. PE解析器与加载器编写指南

一、保护模式

  1. GDT表与段描述符
  2. D/B位与向下拓展的实验
  3. 调用门
  4. 中断门与陷阱门
  5. 任务段与任务门
  6. 保护模式101012分页机制
  7. 10-10-12 分页机制[2]
  8. 保护模式中的PDE与PTE
  9. 控制寄存器
  10. TLB机制

二、驱动开发

  1. Windows下第一个驱动程序
  2. Windows下如何调试驱动程序
  3. Windows内核编程时的习惯与注意事项
  4. 内核空间与内核模块
  5. 零环与三环通讯方式
  6. 使用驱动来编写调用门
  7. 驱动中常见的字符串操作
  8. 驱动对象(驱动隐藏技术)
  9. InlineHook 通过Hook NtOpenProcess 达到反调试的目的

三、系统调用

  1. Windows系统调用中API的三环部分(依据分析重写ReadProcessMemory函数)
  2. Windows系统调用中API从三环到零环(上)
  3. Windows系统调用中API从三环到零环(下)
  4. 三环进入零环的细节(KiFastCallEntry函数分析)
  5. Windows系统调用中的系统服务表
  6. Windows系统调用中的系统服务表描述符(SSDT)
  7. 从零环返回三环(KiServiceExit函数分析)
  8. SSDT HOOK 框架设计思路

四、进程与线程

  1. 进程的本质
  2. KPCR
  3. 线程
  4. 线程链表与线程切换
  5. KiFindReadyThread分析 - 查找下一个就绪线程
  6. 线程被动切换(时间碎片) - KiReadyThread函数详细分析

五、句柄表

  1. 全局句柄表
  2. [废弃]句柄表(私有句柄表)
  3. [废弃]私有句柄表

六、APC机制

  1. [废弃]APC的本质
  2. [废弃]备用APC队列(没写完,占坑)
  3. [废弃]用户APC的执行过程

七、内存管理

  1. Windows内存布局 / MmPfnDataBase页帧数据库
  2. VAD树的属性及其遍历
  3. R3环申请内存时页面保护与_MMVAD_FLAGS位的对应关系
  4. 通过修改VAD属性破除锁页机制
  5. 内存在0环的两种内存隐藏方式(基于VAD树)
  6. 无处不在的页异常

八、异常

  1. 两种异常(CPU异常、用户模拟异常)的收集
  2. 内核层异常的派发与处理
  3. 用户层异常的派发与处理
  4. 用户层异常的处理 - VEH异常
  5. 用户层异常的处理 - SEH异常
  6. [废弃]CPU异常的记录(以trap00为例)
  7. [废弃]用户模拟异常的记录(以thorw 1 为例)
  8. [废弃]用户异常与CPU异常的派发
  9. [废弃]初识VEH链(用户异常派发的进一步研究)

九、调试

  1. 调试器与被调试程序的关系建立
  2. 调试事件的生成、派发、接收与处理
  3. [废弃]调试对象的构建
  4. [废弃]调试事件的派发
  5. [废弃]调试事件的收集
  6. [废弃]调试事件的处理结束
  7. [废弃]INT 3 中断调试处理流程 
  8. [废弃]内存断点与硬件断点 

十、回调函数

  1. 模块、进程、线程回调函数的逆向

十一、窗口

十二、VT调试

  1. VT 调试环境搭建
  2. 一顿操作之后成功在win7 64版本输出VT是否可用
  3. VT开启前的检测与开启
  4. VT技术对于除零异常的拦截与派发到3号中断
  5. VT MTF VM-Exit
  6. VT MSR、CR、 Exception、#PF
  7. EPT的开启与处理

十三、PG研究

posted @ 2019-10-19 23:59  OneTrainee  阅读(2452)  评论(0编辑  收藏