过游戏保护.docVIP

过游戏保护 一、基础篇--简单驱动模型 1.1 DDK及VC6.0/7.0/9.0的安装 1.1.1 安装VC++6.0 -1课 1.1.2 安装VS2003-VC++7.0-2课 1.1.2 安装VS2008-VC++9.0-3课 1.1.3 安装VC助手-4课 1.1.5 安装DDK-5课 1.2驱动开发VC环境安装配置 1.2.1 VC6环境编译驱动-6课 A、VC6驱动编译配置 B、VC6集成环境下编译驱动 1.2.2 VS2003环境编译驱动-7课 A、VC7驱动编译配置 B、VC7集成环境下编译驱动 1.2.3 VS2008环境编译驱动-8课 A、VC9驱动编译配置 B、VC9集成环境下编译驱动 1.3 NT式驱动 1.3.1编写一个名为DDK_HelloWorld简单的驱动-9课 A、VC6集成环境下书写代码 驱动入口函数DriverEntry 入口函数参数DriverObject和RegistryPath B、书写SOURCES文件 C、书写makefile文件 D、用DDK-Build环境编译 1.3.2为DDK_HelloWorld添加卸载例程-10课 A、输出调试信息-KdPrint B、认识PDRIVER_OBJECT结构 C、注册驱动卸载例程 D、卸载例程回调函数构建 E、查看驱动调试信息 1.3.3 用工具过驱动保护(确定学习方向)-11课 A、用户层至内核的隐秘通道 B、浅谈过保护原理 C、实战过XX游戏驱动保护,让OD,CE正常附加调试 D、小结 1.3.4为DDK_HelloWorld添加设备例程-12课 A、相关内核API介绍 B、重要数据结构驱动对象DRIVER_OBJECT C、重要数据结构设备对象DEVICE_OBJECT D、添加创建设备的例程 E、用工具查看驱动及驱动设备 1.3.5VM+windbg安装 13课 A、安装VM虚拟机 B、在VM里安装操作系统 C、安装windbg D、windbg和VM的相关配置 E、启用windbg双机调试 1.3.6实战用windbg调试自己驱动DDK_HelloWorld -14课 A、用户层调试和内核调试区别 B、如何下断跟踪 C、F10步过和F11步进 D、查看寄存器相关信息 E、源代码调试与机器码调试 1.3.7DDK_HelloWorld卸载例程细化-15课 A、再看DEVICE_OBJECT结构 B、删除符号链接 C、删除设备 D、测试卸载例程 1.3.8为DDK_HelloWorld添加默认派遣例程-16课 A、初识IRP B、一个简单的IRP处理函数 C、IRP.IoStatus结构 D、IoCompleteRequest函数 1.4 编写自己的驱动过游戏保护(以11课分析为例) 1.4.1需要具备的理论知识-17课 A、了解SSDT结构 B、由SSDT索引号获取当前函数地址 C、如何获取索引号 D、获取起源地址-判断SSDT是否被HOOK E、如何向内核地址写入自己代码 1.4.2读出SSDT表当前函数地址-18课 A、引用KeServiceDescriptorTable表 B、通过ServiceTableBase+偏移读出当前函数地址 C、用windbg测试读取的值 1.4.3读出原函数地址-19课 A、集成上一课代码至GetNt_CurAddr函数 B、MmGetSystemRoutineAddress C、书写GetNt_OldAddr函数 D、测试结果 1.4.4JMP地址转换公式推导-20课 A、JMP地址转换公式推导