[计算机软件及应用]Windows内核和驱动进程保护.pptVIP

下载本文档

71
0
约3.02万字
约 65页
2018-03-11 发布于浙江
举报
版权申诉

[计算机软件及应用]Windows内核和驱动进程保护.ppt

1、本文档共65页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

[计算机软件及应用]Windows内核和驱动进程保护

Windows内核和驱动进程保护 NTSTATUS DriverEntry IoCreateDevice IoCreateSymbolicLink NT_SUCCESS code_seg(PAGE) RtlInitUnicodeString FILE_DEVICE_UNKNOWN PCLIENT_ID ExAllocatePool KeServiceDescriptorTable IoCallDriver IRP_MJ_DEVICE_CONTROL PIO_STACK_LOCATION Driver By Dream_Sky12 Part 1 基础知识 1、Windows操作系统架构，以OpenProcess为例介绍函数在整个操作系统的调用过程。 2、驱动开发环境的搭建(Visual Studio+WDK+Windbg+VMware) 3、初步了解SSDT(System Services Descriptor Table系统服务描述符表) 4、makefile,sources文件 Part 2 从最简单的驱动开始 1、最简单的驱动HelloWorld (1)编写最简单的驱动 (2)添加默认派遣例程 (3)为驱动添加设备和卸载设备 2、驱动的加载与启动 (1)使用工具 (2)命令行 (3)注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services (4)自己编写Win32驱动加载程序LoadSys.exe 3、SSDT (1)读取SSDT中当前函数地址 (2)读出函数原地址 (3)突破Blue Screen，取消Windows内核只读保护，修改SSDT表。 (4)JMP 0xE9 Inline Hook初试 4、C还是C++? (1)函数调用约定__stdcall __cdecl (2)C和C++编译 (3)运行时函数Run Time Function Part 3 派遣函数与内存管理 1、应用程序.exe与驱动.sys的通信 (1)IRP (I/O Request Package) (2)缓冲模式 (3)直接模式 (4)其他模式 (5)SSDT Hook进程保护的实现 2、内存管理 (1)物理内存、虚拟内存 (2)Ring3地址，Ring0地址 (3)内存管理API 3、驱动中的链表操作 (1)new和delete的重载 (2)使用自定义结构体 (3)WDK提供的结构体List_Entry Part 1 基础知识 Windows操作系统架构 User Mode Kernel Mode Ring 3 Ring 0 Windows DLLs NTDLL.DLL System Processes Windows DLLs Services Subsystem DLLs Applications POSIX Windows DLLs Windows Environment Subsystem System Service Dispatcher(系统服务) (Kernel mode callable interfaces)(执行体API) I/O manager Device and file system drivers Cache manager 缓存管理器 Object manager 对象管理器 Plug and Play manager 即插即用管理器 Security reference monitor安全引用监视 Memory manager 内存管理器 Process manager 进程管理器 Configuration manager 设置管理器 Local process call 本地过程调用 Windows USER, GDI Graphics drivers Micro-Kernel(微内核) Hardware abstraction layer (HAL)硬件抽象层 System Threads OpenProcess调用过程 OpenProcess Kernel32.OpenProcess Ntdll.NtOp