《Windows內核分析》專題-索引目錄

 

 

 

這里整理了《Windows內核分析》專題的各篇博文，方便查找。

二進制中的數學換算

常用匯編指令集合

驅動內核函數匯總

windbg 常調用指令

 

 

滴水視頻匯總

1. PE文件
2. 系統調用
3. APC
4. 進程與線程
5. 等待對象
6. 異常(1)
7. 異常(2) --- 編譯器對於SEH異常的拓展
8. 軟件調試
9. 消息機制
10. 內存管理
11. PE解析器與加載器編寫指南

一、保護模式

1. GDT表與段描述符
2. D/B位與向下拓展的實驗
3. 調用門
4. 中斷門與陷阱門
5. 任務段與任務門
6. 保護模式101012分頁機制
7. 10-10-12 分頁機制[2]
8. 保護模式中的PDE與PTE
9. 控制寄存器
10. TLB機制

二、驅動開發

1. Windows下第一個驅動程序
2. Windows下如何調試驅動程序
3. Windows內核編程時的習慣與注意事項
4. 內核空間與內核模塊
5. 零環與三環通訊方式
6. 使用驅動來編寫調用門
7. 驅動中常見的字符串操作
8. 驅動對象（驅動隱藏技術）
9. InlineHook 通過Hook NtOpenProcess 達到反調試的目的

三、系統調用

1. Windows系統調用中API的三環部分(依據分析重寫ReadProcessMemory函數)
2. Windows系統調用中API從三環到零環(上)
3. Windows系統調用中API從三環到零環(下)
4. 三環進入零環的細節（KiFastCallEntry函數分析）
5. Windows系統調用中的系統服務表
6. Windows系統調用中的系統服務表描述符(SSDT)
7. 從零環返回三環(KiServiceExit函數分析)
8. SSDT HOOK 框架設計思路

四、進程與線程

1. 進程的本質
2. KPCR
3. 線程
4. 線程鏈表與線程切換
5. KiFindReadyThread分析 - 查找下一個就緒線程
6. 線程被動切換（時間碎片） - KiReadyThread函數詳細分析

五、句柄表

1. 全局句柄表
2. [廢棄]句柄表(私有句柄表)
3. [廢棄]私有句柄表

六、APC機制

1. [廢棄]APC的本質
2. [廢棄]備用APC隊列（沒寫完，占坑）
3. [廢棄]用戶APC的執行過程

七、內存管理

1. Windows內存布局 / MmPfnDataBase頁幀數據庫
2. VAD樹的屬性及其遍歷
3. R3環申請內存時頁面保護與_MMVAD_FLAGS位的對應關系
4. 通過修改VAD屬性破除鎖頁機制
5. 內存在0環的兩種內存隱藏方式(基於VAD樹)
6. 無處不在的頁異常

八、異常

1. 兩種異常(CPU異常、用戶模擬異常)的收集
2. 內核層異常的派發與處理
3. 用戶層異常的派發與處理
4. 用戶層異常的處理 - VEH異常
5. 用戶層異常的處理 - SEH異常
6. [廢棄]CPU異常的記錄(以trap00為例)
7. [廢棄]用戶模擬異常的記錄(以thorw 1 為例)
8. [廢棄]用戶異常與CPU異常的派發
9. [廢棄]初識VEH鏈(用戶異常派發的進一步研究)

九、調試

1. 調試器與被調試程序的關系建立
2. 調試事件的生成、派發、接收與處理
3. [廢棄]調試對象的構建
4. [廢棄]調試事件的派發
5. [廢棄]調試事件的收集
6. [廢棄]調試事件的處理結束
7. [廢棄]INT 3 中斷調試處理流程 
8. [廢棄]內存斷點與硬件斷點 

十、自建調試體系

 

十一、x64

 

十二、VT調試

1. VT 調試環境搭建
2. 一頓操作之后成功在win7 64版本輸出VT是否可用
3. VT開啟前的檢測與開啟