0.基础的基础
|-学习WIN64驱动开发的硬件准备
|-配置驱动开发环境
------------------------------
1.驱动级HelloWorld
|-配置驱动测试环境
|-编译和加载内核HelloWorld
------------------------------
2.内核编程基础
|-WIN64内核编程的基本规则 
|-驱动程序与应用程序通信 
|-内核里使用内存  
|-内核里操作字符串  
|-内核里操作文件  
|-内核里操作注册表  
|-内核里操作进线程  
|-驱动里的其它常用代码  
------------------------------
3.内核HOOK与UNHOOK
|-系统调用、WOW64与兼容模式 
|-编程实现突破WIN7的PatchGuard
|-系统服务描述表结构详解 
|-SSDT HOOK和UNHOOK  
|-SHADOW SSDT HOOK和UNHOOK 
|-INLINE HOOK和UNHOOK  
------------------------------
4.无HOOK监控技术
|-无HOOK监控进线程启动和退出 
|-无HOOK监控模块加载  
|-无HOOK监控注册表操作  
|-无HOOK监控文件操作  
|-无HOOK监控进线程句柄操作 
|-使用对象回调监视文件访问 
|-无HOOK监控网络访问
|-无HOOK监视修改时间
------------------------------
5.零散内容
|-驱动里实现内嵌汇编  
|-DKOM隐藏进程+保护进程  
|-枚举和隐藏内核模块  
|-强制结束进程   
|-强制读写进程内存  
|-枚举消息钩子   
|-强制解锁文件   
|-初步探索PE32+格式文件  
------------------------------
6.用户态HOOK与UNHOOK
|-RING3注射DLL到系统进程
|-RING3的INLINE HOOK和UNHOOK
|-RING3的EAT HOOK和IAT HOOK
------------------------------
7.反回调
|-枚举与删除创建进线程回调
|-枚举与删除加载映像回调
|-枚举与删除注册表回调
|-枚举与对抗MiniFilter
|-枚举与删除对象回调

链接：http://pan.baidu.com/s/1hsBp8Fy