编程基础:C/C++核心,重点掌握指针、内存管理、结构体、函数调用约定
汇编语言:x86/x64基础指令集,理解寄存器、栈操作、常见指令
Windows基础:进程/线程概念、内存管理、DLL机制、API基础
PE文件基础结构理解
基础反汇编阅读能力
调试器基本操作熟练度
常见CrackMe破解流程掌握
完成10-15个难度递增的CrackMe
编写Python脚本分析PE基本信息
建立个人分析笔记模板
Windows系统架构深入:
text
PE文件格式完全解析:
python
Inline Hook实现 (x64):
cpp
IAT Hook实现:
cpp
Frida动态Hook示例:
javascript
python
ReactOS学习路径:
text
关键源码文件示例:
c
ReactOS与Windows对比研究表格:
现代Windows内核架构图:
text
自动化配置脚本:
powershell
SSDT Hook历史实现(了解原理):
c
现代内核回调机制(合法监控方式):
c
CVE-2021-34527 PrintNightmare完整分析:
cpp
c
虚拟化检测与反检测技术:
cpp
虚拟化保护分析框架:
python
现代调试器框架开发:
cpp
第1年:基础语言掌握
详细技能要求:
C/C++ (精通级要求):
指针、引用、内存管理(new/delete, malloc/free)
结构体、联合体、位域
函数指针、回调函数
虚函数表、RTTI、异常处理
模板、STL容器和算法
多线程编程(Windows线程API)
COM组件编程基础
Python (高级要求):
基本语法和数据结构
文件操作、正则表达式
网络编程(socket, requests)
多线程、多进程
与C/C++扩展(ctypes, CFFI)
逆向相关库:pefile, capstone, keystone, unicorn
自动化脚本编写能力
汇编语言 (专家级要求):
x86/x64寄存器体系
常用指令集(数据传输、算术运算、逻辑运算、控制转移)
栈帧结构、调用约定(cdecl, stdcall, fastcall)
浮点指令、SIMD指令基础
异常处理、系统调用机制
反汇编阅读和编写能力
Win32 API编程技能矩阵:
.NET平台技能:
C#语言核心语法
.NET Framework架构理解
WPF/WinForms程序开发
CLR内部机制(AppDomain, Assembly, JIT)
.NET反射与动态代码生成
.NET Remoting/WCF基础
驱动开发技能:
Windows驱动模型(WDM/WDF)
内核模式编程规范
IRP处理机制
设备对象与符号链接
与用户态通信(IOCTL)
内核同步机制
安全性和权限控制
Python自动化脚本示例:
python
JavaScript (Frida脚本):
Frida API掌握
Interceptor挂钩技术
Memory内存操作
Stalker指令跟踪
RPC远程调用
PowerShell技能:
基本语法和管道操作
WMI/CIM查询
.NET互操作性
系统管理和自动化
安全相关Cmdlet
项目1:CrackMe通关挑战
目标:完成10-15个难度递增的CrackMe
技能点:
字符串搜索技巧
基础断点设置
寄存器监控
简单补丁制作
资源:crackmes.one, reverser.kr
项目2:PE文件分析工具开发
目标:使用Python开发PE文件分析器
功能:
基本PE头解析
导入表/导出表显示
节区信息提取
简单查壳功能
技术:Python, pefile库
项目3:简单病毒行为分析
目标:分析EICAR测试文件或简单蠕虫
步骤:
静态分析(字符串、导入函数)
动态监控(Process Monitor)
行为总结报告
产出:分析报告文档
项目4:商业软件保护分析
目标:分析某共享软件的注册机制
技能点:
API Hook技术应用
算法逆向分析
注册机编写
工具:x64dbg, IDA, Python
项目5:游戏修改器制作
目标:为经典游戏(如扫雷、纸牌)制作修改器
技术:
内存扫描(Cheat Engine)
注入技术
热键处理
语言:C++/C#
项目6:恶意软件深度分析
目标:分析真实世界恶意软件样本
步骤:
环境搭建(虚拟机、快照)
多维度分析(静态、动态、网络)
行为流程图绘制
IOC提取
产出:专业分析报告
项目7:定制化调试器开发
目标:开发支持脚本化的调试器
功能:
基本调试功能(断点、单步)
脚本引擎集成(Lua/Python)
插件系统
反反调试功能
技术:C++, Windows调试API
项目8:虚拟机检测与绕过工具
目标:研究VMware/VirtualBox检测与反检测
内容:
虚拟化特征识别
检测方法实现
绕过技术研究
产出:技术论文和演示工具
项目9:Rootkit分析与检测工具
目标:分析TDL4或ZeroAccess等Rootkit
重点:
MBR/VBR感染分析
隐藏技术研究
检测方法实现
工具:WinDbg, IDA, 自制工具
项目10:Windows内核安全机制研究
研究方向:
PatchGuard机制深入分析
Driver Signature Enforcement绕过
Virtualization Based Security研究
产出:学术论文或会议演讲
项目11:虚拟化安全研究框架
目标:基于Intel VT-x/AMD-V的研究框架
功能:
内存监控
系统调用拦截
恶意行为检测
技术:C++, 汇编, 虚拟化技术
项目12:供应链攻击深度分析
案例研究:
SolarWinds攻击链分析
CCleaner供应链攻击
软件更新机制安全
产出:攻击技术全景图和防御建议
text
微软认证路径:
text
安全行业认证:
text
text
text
Windows逆向与安全分析是一条漫长而充满挑战的道路,但也是一条回报丰厚的职业路径。本指南提供了从零开始到专家水平的完整路线图,但请记住:
坚持不懈:技术深度需要时间积累,不要期望速成
动手实践:理论知识必须通过实践验证和巩固
社区参与:与他人交流是快速成长的最佳途径
道德坚守:技术能力应与道德责任相匹配
持续学习:安全技术日新月异,必须保持学习状态
立即开始:从今天起,每天投入固定时间学习
建立系统:搭建个人学习和实验环境
找到同伴:加入社区,找到学习伙伴或导师
记录过程:详细记录每次分析和学习的收获
享受过程:把技术挑战视为乐趣而非负担
合法性:所有分析工作必须在合法授权范围内进行
安全性:恶意软件分析必须在隔离环境中进行
责任心:技术能力越大,社会责任越大
祝你在这条技术探索的道路上取得成功,成为一名优秀的Windows安全专家!
最后感谢看雪论坛,祝论坛越来越好!
本完全指南由看雪论坛社区技术资料整理而成,将持续更新和维护。欢迎在看需论坛社区中讨论、补充和改进。技术之路,我们同行!
用户态
├── 子系统 (Win32, POSIX, OS/2)
├── NTDLL.DLL (用户态系统服务分发)
└── 系统服务调用 (syscall)
内核态
├── 执行体 (Executive)
│ ├── 对象管理器
│ ├── 进程/线程管理器
│ ├── 内存管理器
│ ├── I/O管理器
│ ├── 安全引用监视器
│ └── 缓存管理器
├── 内核 (微内核)
├── 硬件抽象层 (HAL)
└── 设备驱动程序
# 使用pefile深度分析示例import pefileimport structclass DeepPEAnalyzer:
def analyze_pe_structure(self, filepath):
pe = pefile.PE(filepath)
# 分析所有数据目录
directories = [
("导出表", pe.OPTIONAL_HEADER.DATA_DIRECTORY[0]),
("导入表", pe.OPTIONAL_HEADER.DATA_DIRECTORY[1]),
("资源表", pe.OPTIONAL_HEADER.DATA_DIRECTORY[2]),
("异常表", pe.OPTIONAL_HEADER.DATA_DIRECTORY[3]),
("安全证书", pe.OPTIONAL_HEADER.DATA_DIRECTORY[4]),
("重定位表", pe.OPTIONAL_HEADER.DATA_DIRECTORY[5]),
("调试信息", pe.OPTIONAL_HEADER.DATA_DIRECTORY[6]),
("全局指针", pe.OPTIONAL_HEADER.DATA_DIRECTORY[7]),
("TLS表", pe.OPTIONAL_HEADER.DATA_DIRECTORY[9]),
("加载配置", pe.OPTIONAL_HEADER.DATA_DIRECTORY[10]),
("绑定导入", pe.OPTIONAL_HEADER.DATA_DIRECTORY[11]),
("IAT导入地址表", pe.OPTIONAL_HEADER.DATA_DIRECTORY[12]),
("延迟导入", pe.OPTIONAL_HEADER.DATA_DIRECTORY[13]),
("CLR运行时", pe.OPTIONAL_HEADER.DATA_DIRECTORY[14])
]
for name, directory in directories:
if directory.VirtualAddress:
print(f"{name}: RVA=0x{directory.VirtualAddress:08X}, Size=0x{directory.Size:08X}")#include <windows.h>#include <memory>class InlineHook {private:
void* target_address;
void* hook_function;
void* trampoline;
BYTE original_bytes[14];
size_t hook_size;
public:
InlineHook(void* target, void* hook)
: target_address(target), hook_function(hook), trampoline(nullptr), hook_size(0) {}
bool install() {
// 计算需要覆盖的最小指令长度
hook_size = calculate_minimum_patch_size(target_address);
if (hook_size < 14) hook_size = 14;
// 保存原始字节
memcpy(original_bytes, target_address, hook_size);
// 创建跳板
trampoline = create_trampoline(target_address, original_bytes, hook_size);
if (!trampoline) return false;
// 写入跳转指令
DWORD old_protect;
VirtualProtect(target_address, hook_size, PAGE_EXECUTE_READWRITE, &old_protect);
// x64绝对跳转: mov rax, address; jmp rax
BYTE jmp_code[14];
jmp_code[0] = 0x48; jmp_code[1] = 0xB8; // mov rax, imm64
*(ULONG_PTR*)(jmp_code + 2) = (ULONG_PTR)hook_function;
jmp_code[10] = 0xFF; jmp_code[11] = 0xE0; // jmp rax
memcpy(target_address, jmp_code, 14);
VirtualProtect(target_address, hook_size, old_protect, &old_protect);
FlushInstructionCache(GetCurrentProcess(), target_address, hook_size);
return true;
}
void* get_trampoline() { return trampoline; }
bool uninstall() {
if (!trampoline) return false;
DWORD old_protect;
VirtualProtect(target_address, hook_size, PAGE_EXECUTE_READWRITE, &old_protect);
memcpy(target_address, original_bytes, hook_size);
VirtualProtect(target_address, hook_size, old_protect, &old_protect);
FlushInstructionCache(GetCurrentProcess(), target_address, hook_size);
VirtualFree(trampoline, 0, MEM_RELEASE);
return true;
}
private:
size_t calculate_minimum_patch_size(void* address) {
// 复杂指令长度计算逻辑
return 14; // 简化返回
}
void* create_trampoline(void* target, BYTE* original, size_t size) {
void* tramp = VirtualAlloc(NULL, size + 14,
MEM_COMMIT | MEM_RESERVE,
PAGE_EXECUTE_READWRITE);
if (!tramp) return nullptr;
memcpy(tramp, original, size);
// 添加跳回指令
BYTE* jump_back = (BYTE*)tramp + size;
jump_back[0] = 0x48; jump_back[1] = 0xB8;
*(ULONG_PTR*)(jump_back + 2) = (ULONG_PTR)target + size;
jump_back[10] = 0xFF; jump_back[11] = 0xE0;
return tramp;
}};// 使用示例void HookExample() {
InlineHook msgbox_hook(MessageBoxA, MyMessageBoxA);
if (msgbox_hook.install()) {
MessageBoxA(NULL, "Test", "Title", MB_OK); // 将被Hook
msgbox_hook.uninstall();
}}class IATHook {private:
HMODULE module_base;
char* dll_name;
char* function_name;
void* original_function;
void* hook_function;
void** iat_entry;
public:
IATHook(const char* module, const char* dll, const char* func, void* hook)
: dll_name(_strdup(dll)), function_name(_strdup(func)), hook_function(hook),
iat_entry(nullptr), original_function(nullptr) {
module_base = GetModuleHandleA(module);
}
bool install() {
PIMAGE_DOS_HEADER dos_header = (PIMAGE_DOS_HEADER)module_base;
PIMAGE_NT_HEADERS nt_headers = (PIMAGE_NT_HEADERS)((BYTE*)module_base + dos_header->e_lfanew);
PIMAGE_IMPORT_DESCRIPTOR import_descriptor = (PIMAGE_IMPORT_DESCRIPTOR)(
(BYTE*)module_base +
nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress );
for (; import_descriptor->Name; import_descriptor++) {
char* current_dll = (char*)((BYTE*)module_base + import_descriptor->Name);
if (_stricmp(current_dll, dll_name) != 0) continue;
PIMAGE_THUNK_DATA original_first_thunk = (PIMAGE_THUNK_DATA)(
(BYTE*)module_base + import_descriptor->OriginalFirstThunk );
PIMAGE_THUNK_DATA first_thunk = (PIMAGE_THUNK_DATA)(
(BYTE*)module_base + import_descriptor->FirstThunk );
for (; original_first_thunk->u1.AddressOfData;
original_first_thunk++, first_thunk++) {
if (original_first_thunk->u1.Ordinal & IMAGE_ORDINAL_FLAG) continue;
PIMAGE_IMPORT_BY_NAME import_by_name = (PIMAGE_IMPORT_BY_NAME)(
(BYTE*)module_base + original_first_thunk->u1.AddressOfData );
if (strcmp((char*)import_by_name->Name, function_name) == 0) {
DWORD old_protect;
iat_entry = (void**)&first_thunk->u1.Function;
VirtualProtect(iat_entry, sizeof(void*), PAGE_READWRITE, &old_protect);
original_function = (void*)*iat_entry;
*iat_entry = hook_function;
VirtualProtect(iat_entry, sizeof(void*), old_protect, &old_protect);
return true;
}
}
}
return false;
}
void* get_original() { return original_function; }
bool uninstall() {
if (!iat_entry || !original_function) return false;
DWORD old_protect;
VirtualProtect(iat_entry, sizeof(void*), PAGE_READWRITE, &old_protect);
*iat_entry = original_function;
VirtualProtect(iat_entry, sizeof(void*), old_protect, &old_protect);
return true;
}};// JavaScript脚本,用于Frida动态插桩Interceptor.attach(Module.findExportByName("user32.dll", "MessageBoxA"), {
onEnter: function(args) {
console.log("[*] MessageBoxA called");
console.log(" hWnd: " + args[0]);
console.log(" Text: " + Memory.readUtf8String(args[1]));
console.log(" Caption: " + Memory.readUtf8String(args[2]));
console.log(" Type: " + args[3].toInt32());
// 修改参数
var newText = Memory.allocUtf8String("Hooked by Frida!");
args[1] = newText;
},
onLeave: function(retval) {
console.log("[*] MessageBoxA returned: " + retval.toInt32());
}});// 监控进程创建var CreateProcessA = Module.findExportByName("kernel32.dll", "CreateProcessA");Interceptor.attach(CreateProcessA, {
onEnter: function(args) {
console.log("[*] CreateProcessA called");
console.log(" Application: " + Memory.readUtf8String(args[0]));
console.log(" CommandLine: " + Memory.readUtf8String(args[1]));
}});# Python + Frida完整监控脚本import fridaimport sysclass WindowsAPIMonitor:
def __init__(self, target_process):
self.target = target_process
self.session = None
self.script = None
def start_monitoring(self):
try:
# 附加到进程
self.session = frida.attach(self.target)
# 创建监控脚本
js_code = """
// 监控关键API分类
var apis_to_monitor = {
'Process': ['CreateProcessA', 'CreateProcessW', 'OpenProcess', 'TerminateProcess'],
'Memory': ['VirtualAlloc', 'VirtualProtect', 'WriteProcessMemory', 'ReadProcessMemory'],
'File': ['CreateFileA', 'CreateFileW', 'ReadFile', 'WriteFile', 'DeleteFileA'],
'Registry': ['RegOpenKeyExA', 'RegSetValueExA', 'RegQueryValueExA'],
'Network': ['socket', 'connect', 'send', 'recv', 'InternetOpenA'],
'DLL': ['LoadLibraryA', 'LoadLibraryW', 'GetProcAddress'],
'Service': ['OpenSCManagerA', 'CreateServiceA', 'StartServiceA']
};
// 对所有API进行挂钩
for (var category in apis_to_monitor) {
var apis = apis_to_monitor[category];
for (var i = 0; i < apis.length; i++) {
var apiName = apis[i];
var apiAddress = Module.findExportByName(null, apiName);
if (apiAddress) {
Interceptor.attach(apiAddress, {
onEnter: function(args) {
console.log('[API] ' + category + ': ' + apiName + ' called');
// 记录参数
this.args = [];
for (var j = 0; j < 4; j++) {
this.args[j] = args[j];
}
},
onLeave: function(retval) {
console.log('[API] ' + apiName + ' returned: ' + retval);
}
});
}
}
}
// 特别监控 - 内存分配
var VirtualAlloc = Module.findExportByName('kernel32.dll', 'VirtualAlloc');
Interceptor.attach(VirtualAlloc, {
onEnter: function(args) {
this.size = args[1].toInt32();
this.protect = args[3].toInt32();
},
onLeave: function(retval) {
console.log('[MEMORY] VirtualAlloc: size=' + this.size +
', protect=0x' + this.protect.toString(16) +
', address=0x' + retval.toString(16));
// 如果分配了可执行内存,监控其使用
if (this.protect & 0x40) { // PAGE_EXECUTE_READWRITE
Memory.protect(retval, this.size, 'rwx');
}
}
});
"""
self.script = self.session.create_script(js_code)
self.script.load()
print(f"[+] 已开始监控进程: {self.target}")
except Exception as e:
print(f"[-] 监控失败: {e}")
def stop_monitoring(self):
if self.session:
self.session.detach()
print("[+] 监控已停止")# 使用示例if __name__ == "__main__":
monitor = WindowsAPIMonitor("notepad.exe")
monitor.start_monitoring()
try:
input("按Enter键停止监控...")
finally:
monitor.stop_monitoring()
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
