第1页 / 共372页
第2页 / 共372页
第3页 / 共372页
第4页 / 共372页
第5页 / 共372页
第6页 / 共372页
第7页 / 共372页
第8页 / 共372页
天使也掉毛 Win64 驱动内核编程.pdf
Win64 驱动内核编程-1.环境搭建
驱动开发环境及其双机调试环境搭建
Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)
驱动安装,通讯,Hello World
Win64 驱动内核编程-3.内核里使用内存
内核里使用内存
Win64 驱动内核编程-4.内核里操作字符串
内核里操作字符串
Win64 驱动内核编程-5.内核里操作文件
内核里操作文件
Win64 驱动内核编程-6.内核里操作注册表
内核里操作注册表
Win64 驱动内核编程-7.内核里操作进程
在内核里操作进程
Win64 驱动内核编程-8.内核里的其他常用
内核里的其他常用
Win64 驱动内核编程-9.系统调用、WOW64与兼容模式
系统调用、WOW64与兼容模式
Win64 驱动内核编程-10.突破WIN7的PatchGuard
突破WIN7的PatchGuard
Win64 驱动内核编程-11.回调监控进线程句柄操作
无HOOK监控进线程句柄操作
Win64 驱动内核编程-12.回调监控进线程创建和退出
回调监控进线程创建和退出
Win64 驱动内核编程-13.回调监控模块加载
回调监控模块加载
Win64 驱动内核编程-14.回调监控文件
回调监控文件
Win64 驱动内核编程-15.回调监控注册表
回调监控注册表
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
WFP驱动监控网络
WFP 实现的一个简单防火墙
转载地址 http://www.cnblogs.com/nevergone/archive/2013
Win64 驱动内核编程-17. MINIFILTER(文件保护)
Win64 驱动内核编程-18.SSDT
SSDT
Win64 驱动内核编程-19.HOOK-SSDT
HOOK SSDT
Win64 驱动内核编程-20.UnHook SSDT
UNHOOK SSDT
Win64 驱动内核编程-21.DKOM隐藏和保护进程
DKOM隐藏和保护进程
Win64 驱动内核编程-22.SHADOW SSDT HOOK
SHADOW SSDT HOOK
Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
Ring0 InLineHook 和UnHook
Win64 驱动内核编程-24.64位驱动里内嵌汇编
64位驱动里内嵌汇编
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
X64枚举和隐藏内核模块
Win64 驱动内核编程-26.强制结束进程
强制结束进程
Win64 驱动内核编程-27.强制读写受保护的内存
强制读写受保护的内存
Win64 驱动内核编程-28.枚举消息钩子
枚举消息钩子
Win64 驱动内核编程-29.强制解锁文件
强制解锁文件
Win64 驱动内核编程-30.枚举与删除线程回调
枚举与删除线程回调
Win64 驱动内核编程-31.枚举与删除映像回调
枚举与删除映像回调
Win64 驱动内核编程-32.枚举与删除注册表回调
枚举与删除注册表回调
Win64 驱动内核编程-33.枚举与删除对象回调
枚举与删除对象回调
Win64 驱动内核编程-34.对抗与枚举MiniFilter
对抗与枚举MiniFilter
天使也掉毛 Win64 驱动内核编程
天使也掉毛 - CSDN 博客 总目录
http://blog.csdn.net/u013761036/article/category/6748673/2
目录
Win64 驱动内核编程-1.环境搭建
...
Win64 驱动内核编程-34.对抗与枚举 MiniFilter
Win64 驱动内核编程-1.环境搭建 - CSDN 博客
http://blog.csdn.net/u013761036/article/details/57412490
Win64 驱动内核编程-1.环境搭建
原创 2017 年 02 月 26 日 13:53:27
标签:
驱动内核编程 /
Win64 驱动 /
驱动环境搭建 /
VS2015 驱动环境搭建 /
双机调试环境搭建
1493
驱动开发环境及其双机调试环境搭建
开发环境搭建
使用工具:vs2015,Windows 10 SDK_10.0.14393,WDK10.0.14393.0
(1)安装 VS2015 随便一个版本吧,我安装的企业版
(2)安装 WDK10.0.14393 安装 WDK
(3)安装 Windows 10 SDK_10.0.14393.安装 SDK,这个首先可以尝试从 VS 配置更
新里安装。
控制面板->卸载程序->vs2015->更改
选上这个 SDK,然后更新。注意这个地方很有可能更新失败,我在公司一次就
更新成功,在家里更新了好多次,最后都是 hash 校验失败啥的错误。最终无奈,
去网上找离线安装包,注意离线安装包是一个几百兆的压缩文件,不是那种很小
的。很小的下载下来,双击之后还是走的上面的那个流程。相当于下载器。下载
器下载下来的依然可能出现之前的 hash 校验失败。这个地方我尝试了好多次。
TIP:最后一点就是一定要注意,SDK 和 WDK 的第三位版本号一定要对上。我的
是 14393。
搭建双击调试环境
接下来是搭建调试环境,驱动通常是搭建双击调试环境。虽然不是要逆向调试
啥的。但是本机调试的话很容易丢失一些信息。毕竟蓝屏后我们能得到的只有一
个 dump。
双击调试环境搭建很简单。下面说下步骤:
1.安装 VMWARE,虚拟机。
2.安装 Win 64 系统。(我是安装的 win7)。
3.把第二部安装的系统 UAC 关掉。
4.在虚拟机里安装 WMware Tools。这个在虚拟机设置里可以直接更新。
5.在虚拟机里直接安装.net framework4(如果安装的系统高于 win7 就不用了,
win7,貌似是 3.5 的,之后都是大于等于 4.0 的)。
6.备份虚拟机当前镜像。
上面安装完虚拟机之后,接下来继续搭建调试环境。
1.安装 windebug.
2.下载 VirtualKD 然后把 target 文件夹拷贝到虚拟机里。
3.虚拟机里管理员权限,找到刚刚下载的 VirtualKD,运行 target 文件夹下的
vminstall.exe。
4.然后在本机里运行 VirtualKD 里面的 wmmon64.exe,设置调试路径
[Debugger path]为 1 安装的 windebug 路径
5.重启刚刚的虚拟机(注意此时本机的 wmon64 正在开启着,在第 3 步里)。选
择这个启动项:
然后会发现 windebug 自动启动了,其实是被 wmon 唤醒的,然后电脑卡在这个
界面:
可以理解为现在是卡到了调试断点,在 windebug 里面直接按 F5 让虚拟机里的系
统跑起来。
6.然后先别调试,先去下载 windows 符号表:
http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx 对应找到自
己系统的符号表。注意有 SP1 和 RTM 的区别。下载之后安装到 C:\symbols 这个
目录。
7.在 windebug 里设置符号表路径:
File->Sysbol file path
8.测试符号表是不是导入成功,此时先重启刚刚的虚拟机,进入到那个按 f5 之前
的那一步。
输入 u KiInsertQueueApc 看到下面这样(u xxx 是内存代码反汇编):
就没啥毛病了。
OK 上面的开发环境和调试环境就 OK 了。
版权声明:本文为博主原创文章,未经博主允许不得转载。
Win64 驱动内核编程-2.基本框架(安装.通
讯.HelloWorld)
原创 2017 年 02 月 26 日 14:04:15
标签:
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
