# windows驱动开发page31.IRP超时处理* 1.驱动介绍与调试环境搭建* 2.helloworld驱动与安装* 3.操作系统与指针回顾  * 4.驱动对象与设备对象* 5.驱动框架类型分类* 6.内存管理操作与new重载* 7.驱动中字符串处理与数据类型* 8.驱动的布局与设备栈 * 9.IRQ中断与IRP包结构* 10.驱动程序与用户通信* 11.常用文件操作与强删文件* 12.注册表常用操作* 13.内核线程* 14.内核线程等待操作* 15.同步机制-自旋锁* 16.同步机制-互斥体* 17.同步机制-信号量(灯)* 18.同步机制-事件 * 19.内核中使用链表* 20.IRP同步与异步原理* 21.IRP同步完成* 22.IRP异步完成* 23.IRP的取消* 24.StartIO例程* 25.自定义StartIO(多队列)* 26.定时器与等待* 27.内核IO定时器* 28.内核DPC定时器* 29.延时阻塞方式定时* 30.驱动中的时间操作* 31.IRP超时处理* 32.DPC与工作项操作文件案例 * 33.驱动模块之间调用* 34.通过句柄方式同步调试驱动* 35.通过句柄方式异步调试驱动* 36.直接创建IRP包调用驱动介绍* 37.IRP包创建案例* 38.案例-获取USB信息* 39.案例-获取PCI信息* 40.分层驱动原理介绍* 41.简单过滤驱动* 42.IRP分包处理* 43.再谈wdm驱动架构* 44.打包msi安装包* 45.修改第三方msi安装包* 46.总结  

* .文件过滤驱动* .总线过滤驱动* .usb过滤驱动* .网络过滤驱动* .新的网络过滤框架* .驱动主动通知用户层# [windows主动防御视频教程(HIDS底层原理)](https://edu.csdn.net/course/detail/35804)  * 1.课程介绍* 2.windows开发环境搭建## 第一章节 PE文件格式* 3.pe头* 4.pe头解析* 5.导入导出表* 6.导入导出表解析* 7.重定位表* 8.重定位表解析* 9.其它表的解析
## 第二章节 R3 层 hook* 10.hook 原理* 11.windows 消息 hook * 12.内联(inline)hook * 13.64位内联hook * 14.IAT hook  * 15.其它hook 
## 第三章节 R3 层注入原理与实现 * 16.注入原理* 17.远程线程注入 * 18.IAT注入 * 19.APC 式注入 * 20.反射式注入* 21.其它注入
## 第四章节 驱动基础知识* 22.驱动开发环境搭建* 23.驱动的Hello World编写与调试* 24.NT式驱动框架讲解与命令行编译* 25.驱动程序用户程序(R0-R3)通信和联调* 26.运行程序的整个调用过程(R0-R3)* 27.驱动中的常用函数-字符串 * 28.注册表操作* 29.文件操作 * 30.线程、进程内核数据结构* 31.常用函数封装* 32.内核实现http通信基础* 33.其它基础
## rootkit技术* 34.inline hook* 35.IAT hook* 36.object hook* 37.IRP hook* 38.ssdt hook* 39.sssdt hook* 40.IDT hook* 41.infinity hook* 42.hook 框架介绍* 43.进程保护* 44.进程隐藏* 45.模块隐藏* 46.反调试* 47.线程注入* 48.apc 注入* 49.IAT注入* 50.全局内存注入* 51.其它注入
## rootkit检测* 52.进程事件监听* 53.注册表事件监听* 54.过滤映射dll* 55.检查隐藏网络端口* 56.遍历IDT表 * 57.过滤IRP栈* 58.内核重载去掉所有hook* 59.遍历dpc定时器* 60.遍历io定时器* 61.检测隐藏(进程、模块)* 62.特征码检测* 63.文件过滤器基础原理* 64.Sfilter使用与源码分析* 65.用户处理思路* 66.Minifilter框架* 67.inf配置脚本详解(WDM、WDF)* 68.介绍基于SPI层的网络过滤器* 69.介绍基于TDI层的网络过滤器* 70.介绍基于NDIS层的网络过滤器* 71.WFP基础* 72.WFP网络过滤器
## 虚拟机化技术 * 73.内核VT虚拟化技术简介* 74.混合编译环境配置(64位汇编)* 75.检测CPU对VT虚拟化的支持情况* 76.初始化VMX与VMCS的非分页内存* 77.初始化Guest状态填充VMCS区域* 78.VMExitHandler原理与实现* 79.VMExit必须处理的退出条件* 80.第一个完整的VT例子* 81.VT hook* 82.EPT的概念* 83.初始化EPT* 84.EPT hook* 85.总结

制作中...

...## rootkit技术* 34.inline hook* 35.IAT hook* 36.object hook* 37.IRP hook* 38.ssdt hook* 39.sssdt hook* 40.IDT hook* 41.infinity hook* 42.hook 框架介绍* 43.进程保护* 44.进程隐藏* 45.模块隐藏* 46.反调试* 47.线程注入* 48.apc 注入* 49.IAT注入* 50.全局内存注入* 51.其它注入
## rootkit检测* 52.进程事件监听* 53.注册表事件监听* 54.过滤映射dll* 55.检查隐藏网络端口* 56.遍历IDT表 * 57.过滤IRP栈* 58.内核重载去掉所有hook* 59.遍历dpc定时器* 60.遍历io定时器* 61.检测隐藏(进程、模块)* 62.特征码检测* 63.文件过滤器基础原理* 64.Sfilter使用与源码分析* 65.用户处理思路* 66.Minifilter框架* 67.inf配置脚本详解(WDM、WDF)* 68.介绍基于SPI层的网络过滤器* 69.介绍基于TDI层的网络过滤器* 70.介绍基于NDIS层的网络过滤器* 71.WFP基础* 72.WFP网络过滤器
## 虚拟机化技术 * 73.内核VT虚拟化技术简介* 74.混合编译环境配置(64位汇编)* 75.检测CPU对VT虚拟化的支持情况* 76.初始化VMX与VMCS的非分页内存* 77.初始化Guest状态填充VMCS区域* 78.VMExitHandler原理与实现* 79.VMExit必须处理的退出条件* 80.第一个完整的VT例子* 81.VT hook* 82.EPT的概念* 83.初始化EPT* 84.EPT hook* 85.总结
...

制作中...

制作中...

# linux的rootkit对抗视频教程(edr底层原理)  ## 基础* 1.课程介绍* 2.各大安全厂商的安全产品讨论(hids、edr)* 3.编译安装最新kernel源码* 4.编写第一个内核程序* 5.linux内核双机调试环境搭建* 6.第一个内核程序源码调试* 7.日志输出规范* 8.驱动文件接收命令行参数* 9.字符设备* 10.Mutex* 11.字符设备读写(r0与r3)* 12.r0与r3通信其它方式与实现* 13.Process Info(上)* 14.Process Info(中)* 15.Process Info(下)* 16.scheduler* 17.系统调用实现原理* 18.修改内核源码添加系统调用号
## rootkit技术
* 19.内核hook基础* 20.Syscall Hooking* 21.进程保护* 22.隐藏目录* 23.键盘记录器* 24.过滤文件读写* 25.进程凭证-自主提权(Credentials)* 26.Ftrace Hook* 27.进程隐藏* 28.内核模块注入* 29.模块隐藏* 30.隐藏网络端口* 31.隐藏用户登录
## rootkit检测
* 32.netfilter hook* 33.绕过netfilter思路* 34.kprobe实现原理* 35.process事件监控(运行、注入、拷贝、退出等)* 36.检测process(模块、线程、凭证等)* 37.检测驱动模块(加载、隐藏)* 38.检测syscall系统调用* 39.检测network(创建、监听、绑定等)
## 其它* 40.IDT表及hook原理* 41.检测IDT中断例程* 42.arm架构hook框架实现* 43.扫描内存* 44.内核中ELF自举* 45.总结