[原创]Professional Rootkits读书笔记持续更新（第6章第1部分已更新2013-6-14）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Professional Rootkits读书笔记持续更新（第6章第1部分已更新2013-6-14）

发表于: 2013-5-30 19:32 18382

[原创]Professional Rootkits读书笔记持续更新（第6章第1部分已更新2013-6-14）

xCnWalker

2013-5-30 19:32

18382

下面是自己学习《Professional Rootkits》的读书笔记。英文版和中文版相互看。（中文版的作者确实挺辛苦，虽然翻译不太通俗）
本系列来源：自己也是第一次学习驱动技术，很多不懂的地方，查着查着资料就出来这些读书笔记了，希望能和大家一起交流。

第一章自己忽略了，安装个WDK7.1.7600然后自己就开始第二章。。。

【读书笔记】Chapter 2: A Basic Rootkit
http://xcnwalker.org/chapter-2-a-basic-rootkit.html
目录
1.  内核程序是怎样执行的
2.  设备驱动隐藏和文件隐藏技术

【读书笔记】Chapter 3: Kernel Hooks
http://xcnwalker.org/chapter-3-kernel-hooks.html
目录
1.   如何修改SSDT为可写的
2.   如何HOOK SSDT中的函数

【读书笔记】Chapter 4 User Hooks ①
http://xcnwalker.org/chapter-4-user-hooks-1.html
目录
1.Hook应用层DLL中API的原理
a.  如何Hook 应用层DLL
b.  如何 Hook DLL中的API
2.Ring0修改DLL API入口点指令原理

【读书笔记】Chapter 4 User Hooks ②
http://xcnwalker.org/chapter-4-user-hooks-2.html
目录
1.如何HOOK ZwMapViewOfSection得到用户空间DLL的基址
2.如何在内核中得到用户进程空间某个DLL中API函数的基址
  a.MDL到底干了什么
  b.通过MDL访问用户进程空间的DLL寻找API基址

【读书笔记】Chapter 4 User Hooks ③
http://xcnwalker.org/chapter-4-user-hooks-3.html
目录
1.Trampoline弹簧床过程的实现
2.用户加载PGPsdk.dll并调用Encode函数被欺骗的过程

【读书笔记】Chapter 5: I/O Processing
http://xcnwalker.org/chapter-5-io-processing.html
目录
1.  应用层如何发送请求到驱动程序
2.  驱动程序如何接收IRP
3.  驱动程序与应用程序的数据交互

【读书笔记】Chapter 6: Communications之TDI通信原理
http://xcnwalker.org/chapter-6-communications_tdi_1.html
目录
1.  TDI接口的通信框架
2.  TDI客户驱动与传输驱动的交互
  a.TDI接口的IRP请求
  b.TDI客户驱动与传输驱动交互的Socket过程
  c.TCP客户端中TDI客户驱动与传输驱动的交互
  d.TCP服务端中TDI客户驱动与传输驱动的交互
3.  技术之外讲讲TDI的被代替

第6章的原理终于更新完啦。命苦的快递员，我想去软件公司。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#系统底层

上传的附件：

【读书笔记】Chapter 2 A Basic Rootkit.pdf （161.01kb，205次下载）
【读书笔记】Chapter 3 Kernel Hooks.pdf （164.78kb，382次下载）
【读书笔记】Chapter 4 User Hooks ①.pdf （348.18kb，406次下载）
【读书笔记】Chapter 4 User Hooks ②.pdf （427.61kb，423次下载）
【读书笔记】Chapter 4 User Hooks ③.pdf （553.02kb，197次下载）
【读书笔记】Chapter 5 IO Processing.pdf （384.89kb，230次下载）
【读书笔记】Chapter 6 Communications之TDI通信原理.pdf （494.88kb，277次下载）

收藏・54

免费・5

支持

最新回复 (28) 1 2 ▶
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 2 楼求wordpress主题，这款找了很久了一直没找到。 2013-5-30 19:52 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 3 楼好的，你明天联系我，我给你下载下来。 2013-5-30 20:02 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 4 楼 PDF 别被感染了就行、、、、、 2013-5-30 20:02 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 5 楼绝对无毒啊，我等菜鸟，是刚学技术。。。可以直接看网站滴，我是怕部分童鞋打不开网站（在国外服务器）所有才好心提供的。。 2013-5-30 20:04 0
囧囧雪币： 284 活跃值： (3394) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 335 粉丝 13 关注私信	囧囧 6 楼感谢xCnWalker网站关于google.cn的文章 2013-5-30 20:37 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 7 楼一起学习，嘿嘿，那些东西本来不敢拿出来的，被你看到了。 2013-5-30 20:39 0
lylxd 雪币： 4878 活跃值： (3122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 8 楼看样子还行，收下，有时间看 thk~ 2013-5-30 23:12 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 9 楼第四章第2部分已更新，求关注。一起学习 2013-5-31 22:05 0
yhdawhf 雪币： 71 活跃值： (227) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yhdawhf 10 楼谢谢楼主的分享。 2013-6-1 08:09 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 11 楼鼓励一下，希望坚持下去 2013-6-1 10:42 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 12 楼多谢看雪大大的鼓励，一定不愧对俺的第一个精华贴。 2013-6-1 12:14 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 13 楼第四章已更新完毕，继续努力，多谢kanxue大大支持。 2013-6-2 13:12 0
jfztaq 雪币： 55 活跃值： (934) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 331 粉丝 1 关注私信	jfztaq 14 楼感谢分享，加油 2013-6-2 19:24 0
十年后雪币： 7908 活跃值： (3846) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 172 粉丝 0 关注私信	十年后 15 楼谢谢楼主分享，支持下。。 2013-6-3 08:25 0
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 16 楼不错，看看先 2013-6-4 22:22 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 17 楼第五章终于更新完啦。快递联盟成立了有木有？！有错误请给我留言！ 2013-6-5 21:40 0
乐随翔雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	乐随翔 18 楼支持楼主 2013-6-12 19:32 0
lhdpedi 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	lhdpedi 19 楼楼主精神可嘉，应该学习 2013-6-12 20:56 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 20 楼关注。。感谢楼主分享 2013-6-14 00:45 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 21 楼第6章的原理终于更新完啦。命苦的快递员，我想去软件公司。 2013-6-14 19:20 0
lilixin 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	lilixin 22 楼 thk`，LZ真贴心，有PDF，网站果断打不开。 2013-8-27 17:12 0
lzdingzi 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	lzdingzi 23 楼这个很好啊，刚进博客去看了，笔记很详细，作为一个刚开始学习的新手，回贴表示感谢~ 2013-9-1 08:36 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 24 楼 MARK 2013-9-1 09:37 0
小小笑儿雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 1 关注私信	小小笑儿 25 楼 mark，精神可嘉 2013-9-1 10:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xCnWalker

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 2 楼求wordpress主题，这款找了很久了一直没找到。 2013-5-30 19:52 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 3 楼好的，你明天联系我，我给你下载下来。 2013-5-30 20:02 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 4 楼 PDF 别被感染了就行、、、、、 2013-5-30 20:02 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 5 楼绝对无毒啊，我等菜鸟，是刚学技术。。。可以直接看网站滴，我是怕部分童鞋打不开网站（在国外服务器）所有才好心提供的。。 2013-5-30 20:04 0
囧囧雪币： 284 活跃值： (3394) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 335 粉丝 13 关注私信	囧囧 6 楼感谢xCnWalker网站关于google.cn的文章 2013-5-30 20:37 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 7 楼一起学习，嘿嘿，那些东西本来不敢拿出来的，被你看到了。 2013-5-30 20:39 0
lylxd 雪币： 4878 活跃值： (3122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 8 楼看样子还行，收下，有时间看 thk~ 2013-5-30 23:12 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 9 楼第四章第2部分已更新，求关注。一起学习 2013-5-31 22:05 0
yhdawhf 雪币： 71 活跃值： (227) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yhdawhf 10 楼谢谢楼主的分享。 2013-6-1 08:09 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 11 楼鼓励一下，希望坚持下去 2013-6-1 10:42 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 12 楼多谢看雪大大的鼓励，一定不愧对俺的第一个精华贴。 2013-6-1 12:14 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 13 楼第四章已更新完毕，继续努力，多谢kanxue大大支持。 2013-6-2 13:12 0
jfztaq 雪币： 55 活跃值： (934) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 331 粉丝 1 关注私信	jfztaq 14 楼感谢分享，加油 2013-6-2 19:24 0
十年后雪币： 7908 活跃值： (3846) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 172 粉丝 0 关注私信	十年后 15 楼谢谢楼主分享，支持下。。 2013-6-3 08:25 0
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 16 楼不错，看看先 2013-6-4 22:22 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 17 楼第五章终于更新完啦。快递联盟成立了有木有？！有错误请给我留言！ 2013-6-5 21:40 0
乐随翔雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	乐随翔 18 楼支持楼主 2013-6-12 19:32 0
lhdpedi 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	lhdpedi 19 楼楼主精神可嘉，应该学习 2013-6-12 20:56 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 20 楼关注。。感谢楼主分享 2013-6-14 00:45 0
xCnWalker 雪币： 70 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	xCnWalker 1 21 楼第6章的原理终于更新完啦。命苦的快递员，我想去软件公司。 2013-6-14 19:20 0
lilixin 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	lilixin 22 楼 thk`，LZ真贴心，有PDF，网站果断打不开。 2013-8-27 17:12 0
lzdingzi 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	lzdingzi 23 楼这个很好啊，刚进博客去看了，笔记很详细，作为一个刚开始学习的新手，回贴表示感谢~ 2013-9-1 08:36 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 24 楼 MARK 2013-9-1 09:37 0
小小笑儿雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 1 关注私信	小小笑儿 25 楼 mark，精神可嘉 2013-9-1 10:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]Professional Rootkits读书笔记 持续更新（第6章第1部分已更新2013-6-14）

[原创]Professional Rootkits读书笔记持续更新（第6章第1部分已更新2013-6-14）