| x86内核 | 链接 | x86内核 | 链接 | ||
|---|---|---|---|---|---|
| 1 | 段机制 | 段保护(一) 段保护(二) 段保护(三) |
8 | 函数分析 | Terminate/Suspend/ResumeThread函数分析 NtReadVirtulMemoery 函数分析 |
| 2 | 页机制 | 页保护(一) 页保护(二) 页保护(三) |
9 | APC | APC(一) APC(二) |
| 3 | 驱动开发 | 驱动开发(一) 驱动开发(二) 驱动开发(三) |
10 | 中断与异常 | 中断与异常(段内容补充一) 中断与异常(段内容补充二) 异常处理(一)异常采集 异常处理(二)异常分发 异常处理(三)编译器扩展SEH 异常处理(四)未处理异常 |
| 4 | 系统调用 | 系统调用(一) 系统调用(二) |
11 | 用户模式调试 | 用户态调试(一)被调试进程 用户态调试(二)调试器进程 用户态调试(三)断点处理-创建进程 |
| 5 | 进程线程 | 进程线程(一) 进程线程(二) |
12 | 内存管理 | x86 内存管理(一)虚拟地址空间布局-ASLR-VAD x86 内存管理(二)私有内存-共享内存-物理内存 x86 内存管理(三)无效/原型 PTE 与页面错误 |
| 6 | 句柄表 | 句柄表 | 13 | 消息机制 | Win32开发(一)事件与消息 Win32开发(二)对话框 GUI Subsystem 用户对象 GUI Subsystem 用户回调 |
| 7 | 同步互斥 | 多核同步(一) 多核同步(二) |
| 环境搭建 | 链接 |
|---|---|
| PD 下 Win 7 调试 XP x86 | Parallels+Windbg+Win7+WinXP搭建双机调试 |
| VS 2010 开发 XP 驱动 | 驱动开发(一) |
| PD 下 21H2 调试 21H2 x86 VS 2019 开发 x64驱动 |
Parallels-Windbg-Win10x64-Win10x86 |
| x64内核 | 链接 | x64内核 | 链接 | ||
|---|---|---|---|---|---|
| 1 | x64 汇编基础 | x64 常用指令 x64 汇编基础 x64 异常处理 |
2 | x64 分段机制 | x64 内核(一)IA-32e 寄存器研究 x64 内核(二)IA-32e 分段研究 x64 内核(三)IA-32e 分段研究 |
| 3 | x64 分页机制 | x64 分页管理(一)基础知识 x64 分页管理(二)页表自映射 |
4 | Meltdown 和 Spectre KVA Shadow CFG |
x64 KVA Shadow via CPU 推测执行漏洞及缓解 控制流防护 Control Flow Guard(CFG) |
| 5 | PatchGuard | 内核补丁保护(一)初始化 内核补丁保护(二)初始化 内核补丁保护(三)DPC 方式触发检查 内核补丁保护(四)其他方式触发 PG 检查 |
6 | WorkItem、DSE、ETW | Windows 工作项(WorkItem) 驱动强制签名 Windows10 用户模式事件追踪(ETW) |
| 7 | 通知回调 | Windows 通知机制 Windows 回调机制 |
8 | 对象管理 | Windows 对象管理 句柄表 |
| 9 | 虚拟化 | Hypervisor(一):VMX 架构与 VMXON region Hypervisor(二):VMCS region Hypervisor(三):虚拟化已运行的系统 Hypervisor(四):Extended Page Table(EPT) Hypervisor(五):Cache 类型与管理 |
| Linux 逆向 | 链接 | Linux 逆向 | 链接 | ||
|---|---|---|---|---|---|
| 1 | Linux 系统基础 | Linux 文件系统知识 Linux 文件权限、用户与组 Linux shell |
2 | Linux 编程基础 | System V AMD64 ABI Linux 编程基础 |
| 3 | 文件操作编程 | Linux 文件 I/O 管理 | 4 | ELF 文件 |