嵌入式培训
上海:021-51875830 北京:010-51292078
西安:029-86699670 南京:4008699035
成都:4008699035 武汉:027-50767718
广州:4008699035 深圳:4008699035
沈阳:024-31298103 石家庄:4008699035☆
全国统一报名免费电话:4008699035

课程表 联系我 在线聊 报名 付款 我们 QQ聊
        Windows内核修练与内核安全培训班
   班级规模及环境--热线:4008699035 手机:15921673576/13918613812( 微信同号)
       坚持小班授课,为保证培训效果,增加互动环节,每期人数限3到5人。
   上课时间和地点
上课地点:【上海】:同济大学(沪西)/新城金郡商务楼(11号线白银路站) 【深圳分部】:电影大厦(地铁一号线大剧院站)/深圳大学成教院 【北京分部】:北京中山/福鑫大楼 【南京分部】:金港大厦(和燕路) 【武汉分部】:佳源大厦(高新二路) 【成都分部】:领馆区1号(中和大道) 【沈阳分部】:沈阳理工大学/六宅臻品 【郑州分部】:郑州大学/锦华大厦 【石家庄分部】:河北科技大学/瑞景大厦 【广州分部】:广粮大厦 【西安分部】:协同大厦
近开课时间(周末班/连续班/晚班): Windows内核开班时间:2024年11月18日......(欢迎您垂询,视教育质量为生命!)
   实验设备
        ☆资深工程师授课
         ☆注重质量 ☆边讲边练
        ☆合格学员免费推荐工作
        ★实验设备请点击这儿查看★
   新优惠
       ◆在读学生凭学生证,可优惠500元。
   质量保障

        1、培训过程中,如有部分内容理解不透或消化不好,可免费在以后培训班中重听;
        2、课程完成后,授课老师留给学员手机和Email,保障培训效果,免费提供半年的技术支持。
        3、培训合格学员可享受免费推荐就业机会。
               Windows内核修练与内核安全培训班

第一阶段


1. windows系统服务
1.1 windows系统服务原理
1.1.1 intel x86的用户模式-内核模式切换
1.1.2 windows的用户模式-内核模式切换
1.1.3 windows中的系统服务分发
1.1.4 增加系统服务表或表项
1.2 lpc(本地过程调用)服务
1.2.1 lpc结构模型
1.2.2 lpc端口和lpc消息
1.2.3 lpc通讯模型的实现
1.2.4 lpc应用
1.3 命名管道(named pipe)服务
1.3.1 命名管道的名称解析
1.3.2 命名管道的通讯模型
1.3.3 命名管道的实现


2. 内核编程环境及其特殊性
2.2.1 内核编程的环境
2.1.1 隔离的应用程序
2.1.2 共享的内核空间
2.1.3 无处不在的内核模块
2.2 数据类型
2.2.1 基本数据类型
2.2.2 返回状态
2.2.3 字符串
2.3 重要的数据结构
2.3.1 驱动对象
2.3.2 设备对象
2.3.3 请求
2.4 函数调用
2.4.1 查阅帮助
2.4.2 帮助中有的几类函数
2.4.3 帮助中没有的函数
2.5 windows的驱动开发模型


3. 串口的过滤
3.1 过滤的概念
3.1.1 设备绑定的内核api之一
3.1.2 设备绑定的内核api之二
3.1.3 生成过滤设备并绑定
3.1.4 从名字获得设备对象
3.1.5 绑定所有串口
3.2 获得实际数据
3.2.1 请求的区分
3.2.2 请求的结局
3.2.3 写请求的数据
3.3 完整的代码
3.3.1 完整的分发函数
3.3.2 如何动态卸载
3.3.3 完整的代码

4. 键盘的过滤
4.1 技术原理
4.1.1 预备知识
4.1.2 windows中从击键到内核
4.1.3 键盘硬件原理
4.2 键盘过滤的框架
4.2.1 找到所有的键盘设备
4.2.2 应用设备扩展
4.2.3 键盘过滤模块的driverentry
4.2.4 键盘过滤模块的动态卸载
4.3 键盘过滤的请求处理
4.3.1 通常的处理
4.3.2 pnp的处理
4.3.3 读的处理
4.3.4 读完成的处理
4.4 从请求中打印出按键信息
4.4.1 从缓冲区中获得keyboard_input_data
4.4.2 从keyboard_input_data中得到键
4.4.3 从makecode到实际字符
4.5 hook分发函数
4.5.1 获得类驱动对象
4.5.2 修改类驱动的分发函数指针
4.5.3 类驱动之下的端口驱动
4.5.4 端口驱动和类驱动之间的协作机制
4.5.5 找到关键的回调函数的条件
4.5.6 定义常数和数据结构
4.5.7 打开两种键盘端口驱动寻找设备
4.5.8 搜索在kbdclass类驱动中的地址
4.6 hook键盘中断反过滤
4.6.1 中断:irq和int
4.6.2 如何修改idt
4.6.3 替换idt中的跳转地址
4.6.4 qq的ps/2反过滤措施
4.7 利用ioapic重定位中断处理函数
4.7.1 什么是ioapic
4.7.2 如何访问ioapic
4.7.3 编程修改ioapic重定位表
4.7.4 插入新的中断处理
4.7.5 驱动入口和卸载的实现
4.8 直接用端口操作键盘
4.8.1 读取键盘数据和命令端口
4.8.2 p2cuserfilter的终实

 


实验:
实习示例一: 驱动编写实验
1,驱动程序设计
2,串口驱动
第二阶段


5. 磁盘过滤
5.1 磁盘过滤驱动的概念
5.1.1 设备过滤和类过滤
5.1.2 磁盘设备和磁盘卷设备过滤驱动
5.1.3 注册表和磁盘卷设备过滤驱动
5.2 具有还原功能的磁盘卷过滤驱动
5.2.1 简介
5.2.2 基本思想
5.3 驱动分析
5.3.1 driverentry函数
5.3.2 adddevice函数
5.3.3 pnp请求的处理
5.3.4 power请求的处理
5.3.5 deviceiocontrol请求的处理
5.3.6 bitmap的作用和分析
5.3.7 boot驱动完成回调函数和稀疏文件
5.3.8 读/写请求的处理
5.3.9 示例代码

6. 文件系统的过滤与监控
6.1 文件系统的设备对象
6.1.1 控制设备与卷设备
6.1.2 生成自己的一个控制设备
6.2 文件系统的分发函数
6.2.1 普通的分发函数
6.2.2 文件过滤的快速io分发函数
6.2.3 快速io分发函数的一个实现
6.2.4 快速io分发函数逐个简介
6.3 设备的绑定前期工作
6.3.1 动态地选择绑定函数
6.3.2 注册文件系统变动回调
6.3.3 文件系统变动回调的一个实现
6.3.4 文件系统识别器
6.4 文件系统控制设备的绑定
6.4.1 生成文件系统控制设备的过滤设备
6.4.2 绑定文件系统控制设备
6.4.3 利用文件系统控制请求
6.5 文件系统卷设备的绑定
6.5.1 从irp中获得vpb指针
6.5.2 设置完成函数并等待irp完成
6.5.3 卷挂载irp完成后的工作
6.5.4 完成函数的相应实现
6.5.5 绑定卷的实现
6.6 读/写操作的过滤
6.6.1 设置一个读处理函数
6.6.2 设备对象的区分处理
6.6.3 解析读请求中的文件信息
6.6.4 读请求的完成
6.7 其他操作的过滤
6.7.1 文件对象的生存周期
6.7.2 文件的打开与关闭
6.7.3 文件的删除
6.8 路径过滤的实现
6.8.1 取得文件路径的3种情况
6.8.2 打开成功后获取路径
6.8.3 在其他时刻获得文件路径
6.8.4 在打开请求完成之前获得路径名
6.8.5 把短名转换为长名
6.9 把sfilter编译成静态库
6.9.1 如何方便地使用sfilter
6.9.2 初始化回调、卸载回调和绑定回调
6.9.3 绑定与回调
6.9.4 插入请求回调
6.9.5 如何利用sfilter.lib
实验:
实习示例二:
1.1 实习一:磁盘过滤

1.2 实习二:文件系统


第三阶段

7. 文件系统透明加密
7.1 文件透明加密的应用
7.1.1 防止企业信息泄密
7.1.2 文件透明加密防止企业信息泄密
7.1.3 文件透明加密软件的例子
7.2 区分进程
7.2.1 机密进程与普通进程
7.2.2 找到进程名字的位置
7.2.3 得到当前进程的名字
7.3 内存映射与文件缓冲
7.3.1 记事本的内存映射文件
7.3.2 windows的文件缓冲
7.3.3 文件缓冲:明文还是密文的选择
7.3.4 清除文件缓冲
7.4 加密标识
7.4.1 保存在文件外、文件头还是文件尾
7.4.2 隐藏文件头的大小
7.4.3 隐藏文件头的设置偏移
7.4.4 隐藏文件头的读/写偏移
7.5 文件加密表
7.5.1 何时进行加密操作
7.5.2 文件控制块与文件对象
7.5.3 文件加密表的数据结构与初始化
7.5.4 文件加密表的操作:查询
7.5.5 文件加密表的操作:添加
7.5.6 文件加密表的操作:删除
7.6 文件打开处理
7.6.1 直接发送irp进行查询与设置操作
7.6.2 直接发送irp进行读/写操作
7.6.3 文件的非重入打开
7.6.4 文件的打开预处理
7.7 读写加密/解密
7.7.1 在读取时进行解密
7.7.2 分配与释放mdl
7.7.3 写请求加密
7.8 crypt_file的组装
7.8.1 crypt_file的初始化
7.8.2 crypt_file的irp预处理
7.8.3 crypt_file的irp后处理

 

实验:
实验三、 键盘过滤实验
第四阶段



8. 网络传输层过滤
8.1 tdi概要
8.1.1 为何选择tdi
8.1.2 从socket到windows内核
8.1.3 tdi过滤的代码例子
8.2 tdi的过滤框架
8.2.1 绑定tdi的设备
8.2.2 唯一的分发函数
8.2.3 过滤框架的实现
8.2.4 主要过滤的请求类型
8.3 生成请求:获取地址
8.3.1 过滤生成请求
8.3.2 准备解析ip地址与端口
8.3.3 获取生成的ip地址和端口
8.3.4 连接终端的生成与相关信息的保存
8.4 控制请求
8.4.1 tdi_associate_address的过滤
8.4.2 tdi_connect的过滤
8.4.3 其他的次功能号
8.4.4 设置事件的过滤
8.4.5 tdi_event_connect类型的设置事件的过滤
8.4.6 直接获取发送函数的过滤
8.4.7 清理请求的过滤
8.5 本书例子tdifw.lib的应用
8.5.1 tdifw库的回调接口
8.5.2 tdifw库的使用例子





实验:
实习示例三:网络传输