Windows内核上目录:
https://www.processon.com/view/link/62218fc563768907728d5d02#map
Windows内核下目录:
https://www.processon.com/view/link/626ff351e0b34d074547d58d#map
Windows内核:
本课程并不涉及到游戏数据的分析
仅仅是通过学习Windows(32/64)位内核运行原理相关的知识来绕过或是突破游戏的保护
对于本套课程作测试用到的程序或者游戏,仅仅是为了演示效果
如构成侵权,及时联系我删除对应视频
邮箱service@yxfzedu.com
QQ:851920120
- Windows内核总的目录学习路线
- 前提知识:C/C++,汇编,PE结构
- 工具:X64/86dbg,CE,IDA,Windbg,DebugView等
- 环境:VMware,Win7 32 ,Win10 64(1809) 双机调试及符号下载
- 参考资料:IA-32架构软件开发人员手册_卷3(Intel Architecture 32bit简称,即英特尔32位体系架构)
内核上和下总共22个章节
Windows内核(上)共有九章
第一章:保护模式
主要学习CPU运行原理,Windows操作系统是如何根据CPU的规则来写操作系统,
内容包括利用段的机制三环进入零环各个知识点的讲解,如何利用CPU提供的各种门进行提权,
包括调用门,中断门,陷阱门,任务门,及任务段。
利用页的机制如何更细粒度的保护内存
包括10 10 12分页,2 9 9 12分页
及各个知识点的实验
第二章:驱动开发
主要学习驱动的开发,常用的一些函数
驱动蓝屏分析
驱动签名
第三章:系统调用
熟悉Windows三环API到Windows内核的执行流程,清晰的了解调用细节
是在游戏对抗中不可缺少的技术点
自写三环API(让调试器(OD,CE)断点无效)
SSDT HOOK(让调试器(OD,CE)无法打开进程)
第四章:进程线程
对Windows内核进程和线程讲解,
通过分析关键函数SwapContext从本质了解线程进程,了解其运行原理,
包括线程切换,强杀进程,进程挂靠等技术原理的讲解及代码的实现
第五章:句柄表
主要学习全局句柄和私有句柄,
全局句柄保护进程,私有句柄提权,
私有句柄降权,Object回调,
分析游戏图标不显示原因
解决DNF,CF,PUBG游戏图标显示问题等
第六章:APC
- APC:异步过程调用(Asyncroneus Procedure Call)
- 一句话解释APC:就是A线程提供一个函数,让B线程去执行,就是APC。
- 完整一点解释APC:A线程提供一个函数,插入到B线程,B线程在某个时刻,满足某些条件下就会执行APC。
- 怎么控制一个线程? 插入APC
- 谁插入的apc -- 别的线程插入的
- 插入到哪里 -- Ethread 有两个队列,一个是三环的 一个零环的
- 队列的特点 后进先出
- 想让apc做三环的事情就先到三环队列里,想让apc做零环的事情,就写到零环队列里。
- 目标:线程
- APC能做出的功能:
- 内存读写 (测试程序:DNF)
- 远程CALL (测试程序:DNF)
- 注入 (测试程序:DNF)
第七章:系统回调
主要是讲解Windows系统为我们提供的回调机制
来监控进程,线程,加载模块,注册表操作
并且通过回调函数来操作它
例如禁止打开指定进程
禁止加载指定模块
锁定注册表等操作
第八章:读写项目
- 读写内存的几种方式
包括:附加进程读写:通过进程挂靠读写内存
MDL映射读写:通过目标虚拟地址计算出物理地址,然后根据物理地址映射出一个新的虚拟地址,
然后对这个新的虚拟地址就行读写操作
内核APC读写:用内核APC对内存进行读写
- 读到内存之后怎么复制
- ReadProcessMemory -- MmCopyVirtualMemory
- 驱动层的部分 DLL
第九章:封装驱动到三环
- 1.把驱动文件写到三环项目中
- 2.加载驱动卸载驱动
- 3.驱动通信加上
- 4.封装读写功能 (导出函数)
- 5.易语言模块
Windows内核(下)共有十三章
第十章:内存管理
- Windows内存管理主要学习什么
- 线性地址是如何管理的
- 物理地址是如何管理的
- 缺页异常解决了什么问题
- 堆,栈这些内存是怎么申请的
- Windows内核情景分析 第三章
- 不管什么程序,除了程序代码本身所占用的空间外,程序在运行过程中总得使用一定的内存空间,因为数据也要占用空间。这些存储数据的内存空间大致可分为三类:
- 全局变量:编译工具链接的时候就静态的分配好了
- 局部变量:调用子函数的时候,在栈上分配
- 通过malloc分配,可以通过free释放,重复利用
- 每个进程都有4GB的空间,但是这4GB空间并不是都在使用,有没有一个地方在记录着哪些地址空间已经使用了,哪些没有使用?
- 肯定有一个地方在记录
- 怎么记录线性地址是否是可以用的?
- 每个进程都有自己的线性地址管理
第十一章:X64汇编
X64新增的寄存器
VS集成64位汇编环境
64位汇编传参问题
汇编里面调用外部函数
全局变量定位
第十二章:X64调用流程
前提知识:
保护模式,系统调用
参考资料:
x86x64体系探索及编程 作者:邓志
64位段描述符
64位调用门
第十三章:X64页表拆分
64位下线性地址的分页模式
设置PTE,PDE的no_execute属性,达到躲避游戏检测等问题
主要内容包括:
PML4T(Page Map Level-4 Table):4KB 包含512个PML4E
PDPT(Page Directory Pointer Table):4KB大小,包含512个PDPE
PDT(Page Directory Table):4KB大小,包含512个PDE
PT(Page Table):4KB大小,包含512个PTE结构
大页:1G && PDPTE.ps== 1
中页:2M PDE.ps == 1 && PDPTE.ps==0
小页:4K PDE.ps == 0 && PDPTE.ps==0
参考资料:x86x64体系探索及编程
第十四章:X64物理地址映射
主要实现
Win7 X64物理地址映射
Win10 X64物理地址映射
第十五章:远程CALL(用户APC)
了解什么是远程CALL
远程CALL能做什么
实现远程CALL的几种实现方式
APC的方式实现远程CALL的具体实现
DNF喇叭功能测试
第十六章:远程CALL(劫持线程)
以劫持线程的方式实现 远程CALL
包括劫持原理,代码实现
获取主线程
挂起线程函数定位
恢复线程函数定位
获取当前线程RIP
构建shell code
劫持RIP及修复返回地址
测试DNF喇叭公告
第十七章:注入技术(用户APC)
注入技术:
包括三种方式:
创建线程注入
APC注入
劫持线程注入
以APC的方式实现无模块注入DLL
整体的一个流程:
1.整合APC代码
2.DLL转换成二进制
3.整合申请内存代码
4.整合内存执行DLL代码 malloc
5.替换申请内存地址
6.测试往DNF注入DLL
第十八章:注入技术(劫持线程)
以劫持线程的方式实现无模块注入
无痕注入:
1.没有线程
2.申请的内存是没有痕迹 (你让游戏保护查不到你的内存)
3.没有模块信息
1.整合劫持线程代码
2.构建shell code
3.劫持RIP
4.抹去PE标记
5.测试往DNF,PUBG注入DLL
6.分析并解决无法注入到PUBG问题
第十九章:注入技术(创建线程)
1.创建线程 隐蔽性不好 线程内核对象 -
白名单模块:
系统的dll
游戏本身的dll
2.APC 插入一个用户apc - 找个线程 -等待某个时机+某些条件满足
3.劫持线程 获取主线程-初始化栈-Trapframe-rip
APC与劫持线程 共同点:
隐蔽性好
1.拆分下大概流程
2.查找内核中创建用户线程函数
3.测试线程函数
4.整合无模块注入相关代码
5.处理线程-伪装线程
6.处理线程-创建线程回调禁用掉
7.处理线程-线程隐藏
8.解决无法注入到DNF问题
第二十章:云下发
原理:
加载驱动的时候从服务器下载驱动,实现动态加载驱动,每次特征码都不一样
阿里云 腾讯云 华为云 京东云 百度云
价格:
配置:内存:16G CPU 4 宽带 10M 5M
1.VS 驱动开发环境
2.驱动签名工具
1.云下发所需环境,服务器选择等
2.VS自动编译项目代码实现
3.服务端安装Nginx
4.编写自动VMP脚本
5.客户端代码实现从服务器下载驱动
第二十一章:异常
学习异常的主要目的就是为了软件调试
在调试软件的时候,目标程序为什么断点可以断下来
它的本质就是触发了异常,在异常处理函数中有个死循环,在等待用户的指令
我们这一章的异常,主要就是讲解这个异常的记录,异常的分发,异常的处理整个流程
第二十二章:软件调试
了解软件调试的整个流程,调试器与被调试程序是怎么进行联系的,建立联系之后又是怎么进行对调试
事件采集以及怎么对调试事件进行处理的,Int 3断点,内存断点,以及硬件断点的原理,以及自写调试功能
实现一个调试器调试程序的一个流程。这章学完也是为了以后自建调试体系作铺垫。