【驱动开发框架搭建】

• 0_驱动实战课程介绍
• 1_项目配置
• 2_动态Log管理
• 3_常用基础类方法
• 4_获取Ntoskrnl基址
• 5_字符串动态加密
• 6_获取导出函数
• 7_去导入表
• 8_无api查找进程id
• 9_查询系统模块和完善框架

【特征码搜索】

• 1_特征码自动化提取与搜索
• 2_特征码实战
• 3_特征码搜索优化

【驱动通讯和挖掘】

• 1_驱动通讯挖掘
• 2_建立通讯
• 3_定义通讯协议和测试通讯
• 4_驱动通讯优化

【物理内存读写】

• 1_线性地址转物理地址
• 2_物理地址转换实战
• 3_线性地址转物理地址代码解析
• 4_线性地址转物理地址代码优化
• 5_读取多物理页内存
• 6_写入物理内存
• 7_读写内核物理内存

【无附加读取进程模块】

• 1_无附加读取进程模块信息
• 2_无模块附加查询模块优化
• 3_vad解析和数据结构
• 4_遍历VAD子节点
• 5_调试VAD bug

【进程伪装】

• 1_进程特征分析
• 2_进程伪装代码修改日记
• 3_进程文件解锁和进程PPL保护
• 4_进程伪装代码讲解
• 5_进程文件解锁注意事项
• 6.PEB深度解析和bug处理
• 7_进程保护和进程提权

【内核搜索应用层特征码】

• 1_搜索r3进程特征码思路
• 2_特征码搜索代码

【窗口保护】

• 1_窗口相关api分析
• 2_引入InfinityHook
• 3_资源过滤管理
• 4_在Win32k中获取ShadowSSDT
• 5_初始化InfiniteHook
• 6_拦截 API代码编写
• 7_启动窗口保护
• 8_窗口保护 代码完善

【反截图】

• 1、反截图思路
• 2、反截图过检测
• 3_窗口反截图深度探索
• 4_DWM 反截图思路

【内核注入】

• 1_无模块注入思路
• 2_LDR注入-KeResume_Suspend定位
• 3_LDR 线程劫持
• 4_LDR构建shellcode注入
• 5_shellcode 自动拉伸无模块注入
• 6_劫持线程启动shellcode注入
• 7_无附加申请内存
• 8_获取无法加申请到的内存并清理特征
• 9_PE转shellcode R3注入
• 10_写入PE shellcode_(修复写入跨页bug)
• 11_劫持线程启动并清理特征
• 12_内核APC启动注入
• 13_解决APC插了不启动的问题

【修改内存属性】

• 1_修改物理内存属性

【驱动加载和痕迹抹除】

• 1_无签名驱动加载
• 2_ 驱动文件加密
• 3_驱动解密加载
• 4_无模块驱动内存申请和对抗思路
• 6_清理驱动加载痕迹

【驱动云编译和加载】

• 1_驱动文件加密和伪装
• 2_自动编译
• 3_git同步代码自动编译
• 4_Nginx web安全配置
• 5_定时自动编译
• 6_驱动云加载
• 7_注入shellcode加载驱动
• 8_注入进程安装驱动并兼容32位进程
• 9_注入加载驱动代码优化和项目设置

【驱动验证卡密】

• 1_卡密编写
• 2_内核卡密验证