我与 windows kernel 的一段时光

写在前面

本科毕业设计是实现一个基于 windows 的透明加密过滤系统。由此对 windows kernel development，尤其是 file system 进行过较为深入的探索。对于防终止的需求，转到调用层实现，由此对 HOOK 技术进行了系统的学习和探索。

学习过程中作了不少笔记，但由于时间原因只是间断零碎的整理了一些到博客中。后来研究生阶段转向 machine learning 和 data mining 的相关课题，对系统安全的这一块内容涉及甚少，也就没有进一步整理更新。

期间有不少网友与我沟通联系表示对该话题很感兴趣。工作落实以后，对自己的文件进行整理，现在将一些自己的学习资料跟大家分享，希望对研究系统尤其是 windows 内核的同仁们有一点帮助。

这里主要对曾经已经发布的资料进行梳理并将一些 demo 进行分享。 需要注意的是，分享的程序在 Windows 7 及以前版本的操作系统上运行没有问题，但不保证其他环境可以正常运行。对于相关的环境配置和参数说明，至今不一定适用。建议读者注意参考官网最新的文档，通过 google或更新的blog解决问题。不过话说回来，最靠谱的还是官方文档！！。

此处主要是对自己工作的一个总结，如果能对大家起到帮助就更好了。代码和调试过程的细节本人不再提供支持和维护，毕竟精力有限。由于个人能力有限，资料难免有纰漏，欢迎指正。如果大家有更有趣的发现或更好的进展欢迎分享，相互学习。

总的来说，整个学习过程确实踩了不少坑，但也正因此让整个过程更有趣。 The road to success was trial and error development, recompilation, and lots of crashes. ——— 这句话是曾经看书时记下来的，用来形容这一过程再贴切不过。与大家共勉～。

github 文件夹, 可能会不定期更新。

资料整理

相关内容整理如下。技术分享-windows kernel 是一次技术沙龙的分享，对内核程序开发进行了一个粗略的介绍，其中还分享了一些有趣的小 demo。HOOK，一些 HOOK 的小程序和code。防终止的基于Windows透明加密 过滤系统研究与实现 是我的论文和答辩 ppt，可以对 windows 内核文件系统一个较为系统的了解。

• Windebug双机调试环境搭建
• 实战调试，第一个内核程序
• 串口过滤
• visual studio 2010 配置驱动开发环境
• 内核环境及其特殊性，驱动编程基础篇
• 技术原理 & 键盘过滤框架
• 键盘过滤的请求处理
• 从请求中打印出按键信息
• 键盘过滤第一个例子ctrl2cap
• HOOK分发函数
• 寒假学习内核编程小结
• 内核编程之安全字符串
• HOOK API（一）——HOOK基础+一个鼠标钩子实例.blog.code
• HOOK API（二）—— HOOK自己程序的 MessageBox. blog. code
• HOOK API（三）—— HOOK 所有程序的 MessageBox.blog.code
• HOOK API（四）—— 进程防终止.blog. code
• HOOK 剪切板. code

一些学习资源：

• Everything Windows Driver Development，OSR Online
• 看雪
• msdn
• 微软官网
• CODE PROJECT
• 驱网
• CSDN、博客园等也有一些文章。会百度，会google也能找到的。
• 几本重要的书：《windows 核心编程》,《汉江独钓windows内核安全编程》，《汇编语言》--王爽，微软官方文档