Rootkits,黑客之颠!内核方向应该怎么学()
大家好,我是周杰伦。
继续咱们的三个月入门系列文章,上次的三个月入门Web安全发布后,有读者留言让我写一写内核方面的,今天就来了。
不过学习内核方向,需要的基本功确实有点多,梳理发现再怎么着压缩,三个月时间还是不够,最后压缩到了四个月。
文章图片
内核方向可能不如Web安全那么让人熟知,搞安全的学习内核干什么?
安全领域中,主要有这几个方向会需要学习内核技术:
1、Rootkit开发,开发内核级病毒木马程序
2、内核安全开发,比如ARK开发、安全软件开发,数据防泄漏、透明加解密等
3、内核漏洞攻击技术,Kernel Exploit
因为在安全领域研究内核技术主要是Windows比较多,所以本文讲述路线仅适用于Windows操作系统。
废话不多说,上学习路线!先来一个总览:
第一个月第一个月:C语言基础 第一个月,主要是通过学习C语言编程来掌握一些计算机的基础知识。
第二个月
- 计算机系统基础
- C语言编程一
- C语言编程二
- 系统编程初探
第三个月
- x86汇编基础
- 软件调试技术
- 逆向分析技术
- HOOK技术
第四个月
- 系统编程深入
- x86内核基础、内存管理
- Windows进程与线程知识
- 系统调用、中断与异常
- 驱动开发入门
- ARK工具使用
- 内核编程
- Rootkit技术
第一周
:计算机系统基础新手小白一开始先从计算机基本概念学起,计算机的基础架构模型,冯诺伊曼体系是什么,CPU的基本工作原理,了解操作系统的基础概念,编程是怎么一回事。
第一周的工作主要是扫盲,了解计算机系统的一些基础名词和概念,可以不用掌握的非常深,但脑子里要有一个初步的印象。
第二周
:C语言基础一第二周开始来进入C语言的学习,现代主流操作系统基本都是使用C语言开发,系统编程也基本使用C语言,学习C语言对未来学习操作系统和内核知识是必须的基础。
这一周,主要掌握一些基本的语法,main函数、输入输出、基础数据类型、基本运算符、分支判断、循环、数组,宏···能编写一些简单的程序。
第三周:C语言基础二
这一周,还是学习C语言,因为C语言实在太重要了,一周时间根本不够。相比上一周,这一周会学的更深入一些。重点掌握函数、指针、结构体、联合体、位域、sizeof、typedef、malloc/free这些知识。
学习的时候不要光看书,一定要每一个知识点在编译器里动手写代码去实践,反复练习加深巩固对知识点的理解。
同时在这个阶段,学习使用编译器(Visual Studio、Clion等)自带的调试工具进行代码调试,学习打断点、查看变量、单步执行等基础操作。
第四周
:系统编程初探有了一定的C语言编程功底,是时候来学习一些跟操作系统相关的编程,在这个过程中接触一些操作系统相关的知识。
比如文件操作、多进程、多线程、堆内存分配与释放,了解Windows 32位平台上进程模型,内存地址空间格局,进程里有哪些内容等。
第二个月:二进制分析基础 第二个月,学习一些二进制安全的基础,这一些东西,做漏洞、破解PWN、内核都需要掌握。
第五周
:x86汇编基础这一周,开始来学习x86汇编语言,做内核安全,经常会进行逆向分析、HOOK挂钩等操作,所以需要具备一定的汇编语言功底。可以从16位汇编开始,了解CPU有哪些寄存器,每个寄存器是做什么的,了解内存分段机制等。
学习基本的常用指令语法:mov、add、sub、push、pop、call、ret、jmp、je/jle/jbe、xor、mul、div、nop···
有了16位的基础,拓展了解32位下的区别,寄存器的变化。
第六周
:软件调试技术前面在学习C语言编程等时候,学习过使用编译器自带的调试器进行简单的调试,在这一周,咱们再来系统的学习一下在汇编层面进行调试。
【Rootkits,黑客之颠!内核方向应该怎么学()】在VisualStudio中调试的时候,除了源码调试,还可以打开汇编窗口查看汇编指令,而且最关键的是,VS将每一行C语句都和汇编指令对照起来了,非常方便我们的学习。
除了在VS中学习调试,这一周主要学习OllyDbg、WinDbg两款调试工具的使用,有了汇编语言的基础和在VS中调试的经历,学习这两款调试工具应该会轻松不少。
文章图片
学习调试函数调用过程,分析函数调用过程中涉及到的传参、跳转、返回地址、堆栈变化,理解函数调用在底层的过程,了解线程的栈里面都有哪些东西。
第七周
:逆向分析技术有了汇编语言和操作系统的一些基础知识,现在可以正式的来接触逆向分析技术了。
首先了解高级语言编译成可执行文件的过程,然后学习PE文件格式。
之后学习反编译工具IDA,学习IDA的一些基础操作,查找字符串、查找函数、图形模式和非图形模式的使用、反编译成高级语言F5功能等。
文章图片
第八周
:HOOK技术这一周学习HOOK技术,HOOK技术是搞二进制安全和内核技术方向的基本功。
学习常见的HOOK技术原理,并编程实践:inline HOOK、IAT HOOK、Windows消息HOOK。
第三个月:Windows内核入门 进入第三个月,开始全面接触Windows平台系统编程的这一套东西,为进一步学习内核打前站。
第九周
:系统编程深入学习Win32编程,掌握DLL编写、文件读写、文件遍历、进程遍历、线程遍历、模块遍历、远程线程注入等基础操作。
通过这些编程,熟悉Windows上进程、线程、模块、句柄等基础概念,了解kernel32.dll、user32.dll、ntdll.dll这些文件是做什么的。
学习使用工具:ProcMon监控进程行为。
第十周
:x86内核基础、内存管理这一周开始接触内核的基础知识,从x86的特权级别和内存管理方式入手,了解现代操作系统和CPU管理内存的底层原理。
学习x86平台特权级Ring0-Ring3模型,了解分段式内存管理机制、分页式内存管理机制,虚拟内存原理。
第十一周
:Windows进程与线程知识这一周,学习Windows内核中管理进程和线程的知识,学习进程和线程的基础数据结构EPROCESS、ETHREAD、PEB。
重点学习:Windows创建一个进程的基本过程,细节可以不用深究,但基本流程要知道,有哪些关键的步骤。
这一周完成后,对一个进程在Windows系统中是一个怎样的存在,从应用层到内核,有一个基本的认识。
第十二周
:系统调用、中断与异常这一周,重点弄懂系统调用和中断与异常两个最基本的内核概念,弄清楚它们的详细过程,Win32 API进入内核的路径和原理,内核分发系统调用的SSDT、SSDTShadow,分发中断的IDT。通过查看内核源码分析详细过程。
这一个阶段,可以结合微软曾经开源的Windows部分内核源码WRK来学习。
第四个月:内核技术进阶 进入第四个月,正式进入神秘的内核区域实战了!
第十三周
:驱动开发入门这一周,终于要开始正式编写Windows驱动啦!
首先学习使用WDK开发Windows内核驱动的基本步骤,了解DriverEntry函数、DriverObject、DeviceObject、SymbolLink、IRP这些基本概念。
然后学习驱动安装加载和卸载,同时学会使用工具加载和自己编程加载。
同时,学习内核日志输出,使用DebugView查看驱动输出的日志。
最后,掌握VirtualKD + VMware进行虚拟机内核调试,学会调试自己的驱动程序。
第十四周
:ARK工具使用这一周来学习一下ARK工具的使用,如PChunter,学习使用这些工具查看内核中的进程、驱动、系统调用表、内核钩子、应用层钩子等信息,并对前几周学习的内核知识进行复习巩固。
文章图片
第十五周
:内核编程这一周继续来深入学习内核编程,掌握使用DeviceIoCtrol与内核通信的编程,掌握内核中内存分配与释放。
学习内核的一些基本过滤框架和回调通知(进程、线程、模块、注册表等),实现一些安全防御功能(如进程保护、文件保护、注册表防护)。
第十六周
:Rootkit技术这一周,主要来学习一些Rootkit经常用到的技术:文件隐藏、进程隐藏等。
学习内核中一些关键数据结构:比如SSDT、IDT、GDT、全局进程列表、全局驱动模块列表、关机回调等,编程操作对这些数据结构进行操作(HOOK、Patch、断链等),通过修改内核数据结构,达到隐藏、回写等功能。
最后,再学习了解下64位下内核技术的一些区别,学习了解PatchGuard。
推荐学习资料 1、《windows核心编程》
文章图片
2、《深入解析Windows操作系统》
文章图片
3、《天书夜读:从汇编语言到Windows内核编程》
文章图片
4、《寒江独钓 windows内核安全编程》
文章图片
5、《Rootkits--Windows内核的安全防护》
文章图片
总结 以上就是四个月入门内核安全的学习路线了,需要说明的是,四个月的时间可能还是不太够,很多东西只能学个皮毛,但足够大家摸到这个门槛了。
大家在学习的时候,可以结合自己的实际情况进行缩短和增加学习时间。
比如你对C语言已经有基础了,就可以跳过这一部分。又比如你觉得汇编部分,一周不够,那就多加一周,适合自己的节奏就好。
大家对这份学习路线有什么疑问都可以在评论区告诉我哦。
上面的学习资料,以及Web安全学习路线图&入门学习视频
我已经整理好了,需要的可以点击下方即可领取
【Web安全学习】
文章图片
推荐阅读
- 增长黑客的海盗法则
- [第38次听写]|[第38次听写] 黑客帝国(三) 甩掉字幕看电影
- 读《增长黑客》——以有限的资源获得最大限度的成长
- 2021飞桨黑客马拉松完美收官,期待下期与你相遇
- 伊朗Cisco路由器遭黑客攻击|伊朗Cisco路由器遭黑客攻击 全国互联网几乎瘫痪
- 如何“以结果为导向”地玩转互联网时代营销(二)——增长黑客
- 110万个账户被黑客窃取、谷歌修复37个安全漏洞|1月6日全球网络安全热点
- 19 | 防火墙(如何和黑客“划清界限”())
- #黑客社会工程学攻防演练#[Chapter|#黑客社会工程学攻防演练#[Chapter 1]
- 《增长黑客》笔记十(增加收入(2))