课程核心目标
从保护模式到硬件虚拟化(VT),系统掌握Windows内核架构、驱动开发与高级安全技术,培养实战型系统级开发能力。
课程模块与核心技术点
一、基础内核架构(铺垫篇)
-
CPU核心机制
-
保护模式、段机制(段探测/DB_TYPE/权限规则)
-
调用门/中断门/陷阱门提权
-
任务门与101012模式
-
页表机制(P_US_RW/挂页/TLB/控制寄存器)
-
-
系统关键流程
-
系统调用流程(SSDT解析/Hook)
-
异常处理链(VEH/SEH/编译器展开)
-
内存管理(VAD/私有内存/物理地址管理/原型PTE)
-
二、驱动开发实战
-
驱动根基
-
驱动通信(IOCTL/双向通信)
-
内核API(字符串/链表/对象回调)
-
设备过滤(键盘鼠标/文件重定向)
-
-
高级安全技术
-
进程保护/线程切换/句柄表劫持
-
模块线程注入/APC调度/DPC队列
-
内存隐身(驱动断链/隐藏驱动/自动签名)
-
三、64位架构深度优化
-
x64差异突破
-
汇编指令/段结构/调用门重建
-
系统调用重定向/SSDT表解析
-
页表隔离(KPTI)与进程伪装
-
-
物理内存操控
-
读写物理地址/申请锁页内存
-
64位内存读写算法
-
四、内核漏洞攻防
-
攻防实战场景
-
蓝屏分析/异常修复(Release BUG调试)
-
ETW原理与Hook(文件重定向/云下载)
-
调试通道建立(硬断/内存断点/单步跟踪)
-
-
安全加固
-
进程回调/对象回调防护
-
Minifilter文件过滤(双向通信/重定向)
-
五、硬件虚拟化(VT)
-
VT架构实战
-
VMCS初始化(Host/Guest配置)
-
CPUID/MSR拦截与修复
-
EPT机制(初始化/Hook物理内存)
-
-
高级应用
-
MTF事件监控/页异常拦截
-
VT兼容性(Win10适配/BUG修复)
-
课程特色
✅ 层层递进:从保护模式到VT虚拟化,覆盖Ring0到Ring-1全层级。
✅ 实战驱动:每阶段结合项目(如内存加载/游戏测试/驱动签名)。
✅ 深度调优:直击内核漏洞(异常派发/SEH展开/页表隔离)。
✅ 前沿技术:EPT Hook、Minifilter、云下载集成等企业级方案。
适合人群
-
致力于Windows安全、反病毒、游戏反外挂的开发者
-
需深入理解操作系统底层机制的内核工程师
-
探索硬件虚拟化(VT)技术的进阶学习者
从零构建Windows内核开发体系,掌握对抗与防御的双重视角,成为系统级解决方案架构师。
课程目录
0.环境搭建
1.保护模式开篇
2.段探测
3.DB_TYPE
4.数据段代码段的权限规则
5.调用门提权
6.中断门
7.中断门与陷阱门_作业讲解
8.int3_HOOK
9.任务门与101012模式的配置
10.页表的前戏
11.P_US_RW
12.挂页
13.页下
14.缓存
15.TLB
16.控制寄存器
17.驱动第一讲
18.字符串操作
19.链表
20.驱动断链
21.蓝屏分析
22.IO通信
23.驱动通信2
24.按键设备过滤
25.内存加载步骤
26.内存加载2
27.内存加载3
28.内存加载4
29.系统调用
30.系统调用-进内核CALL函数
31.系统调用-返回
32.SSDT_HOOK
33.进程结构介绍
34.进程保护
35.线程
36(今晚大家都有运动)
37.线程切换
38.线程切换2
39.线程被动切换
40.全局句柄表
41.私有访问
42.模块线程
43.对象回调
44.回调结构分析
45.APC函数解说
46.内核APC执行
47.用户APC执行
48.DPC队列
49.查询内存
50.获取64位模块读写
51.创建线程
52.X64物理内存算法
53.申请内存
54.读写内存
55.通信
56.通信接口封装
57.自动加载驱动
58.隐藏驱动集成自动化签名
59.云下载
60.鼠键
61.信号屏蔽
62.内核事件等待
63.处理用户内核APC警惕反回
64.事件和信号量
65.互斥体
66.互斥体分析
67.ETW原理
68.ETWHOOK_BUG修复
69.ETWHOOK_文件重定向
70.座谈大会
71.VAD_私有内存
72.映射内存 锁页
73.物理地址管理
74.原型
75.minifilter创建
76.minifilter重定向
77.minifilter双向通信
78.异常简介
79.异常登记打包
80.异常派发(1)
80.异常派发
81.VEH_.tm
82.VEH页异常HOOK
83.SEH异常_
84.异常修复_release
85.SEH_编译器拓展1
86.SEH局部展开_finllay
87.SEH编译器全局展开拓展
88.异常的最后一道防线
89.x64汇编入门
90.x64汇编细节
91.X64的段
92.调用门
93.分页
94.读写物理地址
95.系统调用1_流程
96.系统调用2_r3下的SSDT
97.系统调用入口_SSDT以及返回
98.ssdt解析表
99.进程伪装
100.页表隔离
101.进程回调
102.x64异常
103.x64异常2_结构解析
104.x86_异常修复_Release修复有BUG
105.X64异常修复
106.注入_1
107.注入2
108.调试通道建立
109.调试的假消息派发
110.调试获取事件
111.调试continue
112.调试事件的收集与INT3断点处理
113.单步与硬断
114.内存断点
115.自建简介
116.debugPort移位
117.ETW导入
118.读写与页函数重写
119.线程Get_SetContextThread重写
120.Peb首次断点
121.游戏测试
122.VT简介
123.VT检测
124.VT初始化VMON
125.VMCS_HOST_GUEST填充
126.VT_VMCS初始化完成
127.CPUID拦截
128.修复退出_拦截MSR
129.VT兼容WIN10
130.异常拦截
131.MTF事件与页异常
132.EPT简介
133.EPT初始化
134.EPT_HOOK_1
135.EPT_HOOK_02
136.VT_EPT_HOOK_03
137.VT_BUG修复