这里整理了《Windows内核分析》专题的各篇博文,方便查找。
滴水视频汇总
一、保护模式
- GDT表与段描述符
- D/B位与向下拓展的实验
- 调用门
- 中断门与陷阱门
- 任务段与任务门
- 保护模式101012分页机制
- 10-10-12 分页机制[2]
- 保护模式中的PDE与PTE
- 控制寄存器
- TLB机制
二、驱动开发
- Windows下第一个驱动程序
- Windows下如何调试驱动程序
- Windows内核编程时的习惯与注意事项
- 内核空间与内核模块
- 零环与三环通讯方式
- 使用驱动来编写调用门
- 驱动中常见的字符串操作
- 驱动对象(驱动隐藏技术)
- InlineHook 通过Hook NtOpenProcess 达到反调试的目的
三、系统调用
- Windows系统调用中API的三环部分(依据分析重写ReadProcessMemory函数)
- Windows系统调用中API从三环到零环(上)
- Windows系统调用中API从三环到零环(下)
- 三环进入零环的细节(KiFastCallEntry函数分析)
- Windows系统调用中的系统服务表
- Windows系统调用中的系统服务表描述符(SSDT)
- 从零环返回三环(KiServiceExit函数分析)
- SSDT HOOK 框架设计思路
四、进程与线程
五、句柄表
六、APC机制
七、内存管理
- Windows内存布局 / MmPfnDataBase页帧数据库
- VAD树的属性及其遍历
- R3环申请内存时页面保护与_MMVAD_FLAGS位的对应关系
- 通过修改VAD属性破除锁页机制
- 内存在0环的两种内存隐藏方式(基于VAD树)
- 无处不在的页异常
八、异常
- 两种异常(CPU异常、用户模拟异常)的收集
- 内核层异常的派发与处理
- 用户层异常的派发与处理
- 用户层异常的处理 - VEH异常
- 用户层异常的处理 - SEH异常
- [废弃]CPU异常的记录(以trap00为例)
- [废弃]用户模拟异常的记录(以thorw 1 为例)
- [废弃]用户异常与CPU异常的派发
- [废弃]初识VEH链(用户异常派发的进一步研究)
九、调试
- 调试器与被调试程序的关系建立
- 调试事件的生成、派发、接收与处理
- [废弃]调试对象的构建
- [废弃]调试事件的派发
- [废弃]调试事件的收集
- [废弃]调试事件的处理结束
- [废弃]INT 3 中断调试处理流程
- [废弃]内存断点与硬件断点
十、自建调试体系
十一、x64
十二、VT调试