Rootkits,黑客之颠!内核方向应该怎么学

继续咱们的三个月入门系列文章,上次的三个月入门Web安全发布后,有读者留言让我写一写内核方面的,今天就来了。

不过学习内核方向,需要的基本功确实有点多,梳理发现再怎么着压缩,三个月时间还是不够,最后压缩到了四个月。图片[1]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

内核方向可能不如Web安全那么让人熟知,搞安全的学习内核干什么?

安全领域中,主要有这几个方向会需要学习内核技术:

1、Rootkit开发,开发内核级病毒木马程序

2、内核安全开发,比如ARK开发、安全软件开发,数据防泄漏、透明加解密等

3、内核漏洞攻击技术,Kernel Exploit

因为在安全领域研究内核技术主要是Windows比较多,所以本文讲述路线仅适用于Windows操作系统。

废话不多说,上学习路线!先来一个总览:

第一个月

  • 计算机系统基础
  • C语言编程一
  • C语言编程二
  • 系统编程初探

第二个月

  • x86汇编基础
  • 软件调试技术
  • 逆向分析技术
  • HOOK技术

第三个月

  • 系统编程深入
  • x86内核基础、内存管理
  • Windows进程与线程知识
  • 系统调用、中断与异常

第四个月

  • 驱动开发入门
  • ARK工具使用
  • 内核编程
  • Rootkit技术

第一个月:C语言基础

第一个月,主要是通过学习C语言编程来掌握一些计算机的基础知识。

第一周:计算机系统基础

新手小白一开始先从计算机基本概念学起,计算机的基础架构模型,冯诺伊曼体系是什么,CPU的基本工作原理,了解操作系统的基础概念,编程是怎么一回事。

第一周的工作主要是扫盲,了解计算机系统的一些基础名词和概念,可以不用掌握的非常深,但脑子里要有一个初步的印象。

第二周:C语言基础一

第二周开始来进入C语言的学习,现代主流操作系统基本都是使用C语言开发,系统编程也基本使用C语言,学习C语言对未来学习操作系统和内核知识是必须的基础。

这一周,主要掌握一些基本的语法,main函数、输入输出、基础数据类型、基本运算符、分支判断、循环、数组,宏···能编写一些简单的程序。

第三周:C语言基础二

这一周,还是学习C语言,因为C语言实在太重要了,一周时间根本不够。相比上一周,这一周会学的更深入一些。重点掌握函数、指针、结构体、联合体、位域、sizeof、typedef、malloc/free这些知识。

学习的时候不要光看书,一定要每一个知识点在编译器里动手写代码去实践,反复练习加深巩固对知识点的理解。

同时在这个阶段,学习使用编译器(Visual Studio、Clion等)自带的调试工具进行代码调试,学习打断点、查看变量、单步执行等基础操作。

第四周:系统编程初探

有了一定的C语言编程功底,是时候来学习一些跟操作系统相关的编程,在这个过程中接触一些操作系统相关的知识。

比如文件操作、多进程、多线程、堆内存分配与释放,了解Windows 32位平台上进程模型,内存地址空间格局,进程里有哪些内容等。

第二个月:二进制分析基础

第二个月,学习一些二进制安全的基础,这一些东西,做漏洞、破解PWN、内核都需要掌握。

第五周:x86汇编基础

这一周,开始来学习x86汇编语言,做内核安全,经常会进行逆向分析、HOOK挂钩等操作,所以需要具备一定的汇编语言功底。可以从16位汇编开始,了解CPU有哪些寄存器,每个寄存器是做什么的,了解内存分段机制等。

学习基本的常用指令语法:mov、add、sub、push、pop、call、ret、jmp、je/jle/jbe、xor、mul、div、nop···

有了16位的基础,拓展了解32位下的区别,寄存器的变化。

第六周:软件调试技术

前面在学习C语言编程等时候,学习过使用编译器自带的调试器进行简单的调试,在这一周,咱们再来系统的学习一下在汇编层面进行调试。

在VisualStudio中调试的时候,除了源码调试,还可以打开汇编窗口查看汇编指令,而且最关键的是,VS将每一行C语句都和汇编指令对照起来了,非常方便我们的学习。

除了在VS中学习调试,这一周主要学习OllyDbg、WinDbg两款调试工具的使用,有了汇编语言的基础和在VS中调试的经历,学习这两款调试工具应该会轻松不少。

图片[2]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

学习调试函数调用过程,分析函数调用过程中涉及到的传参、跳转、返回地址、堆栈变化,理解函数调用在底层的过程,了解线程的栈里面都有哪些东西。

第七周:逆向分析技术

有了汇编语言和操作系统的一些基础知识,现在可以正式的来接触逆向分析技术了。

首先了解高级语言编译成可执行文件的过程,然后学习PE文件格式。

之后学习反编译工具IDA,学习IDA的一些基础操作,查找字符串、查找函数、图形模式和非图形模式的使用、反编译成高级语言F5功能等。

图片[3]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

第八周:HOOK技术

这一周学习HOOK技术,HOOK技术是搞二进制安全和内核技术方向的基本功。

学习常见的HOOK技术原理,并编程实践:inline HOOK、IAT HOOK、Windows消息HOOK。

第三个月:Windows内核入门

进入第三个月,开始全面接触Windows平台系统编程的这一套东西,为进一步学习内核打前站。

第九周:系统编程深入

学习Win32编程,掌握DLL编写、文件读写、文件遍历、进程遍历、线程遍历、模块遍历、远程线程注入等基础操作。

通过这些编程,熟悉Windows上进程、线程、模块、句柄等基础概念,了解kernel32.dll、user32.dll、ntdll.dll这些文件是做什么的。

学习使用工具:ProcMon监控进程行为。

第十周:x86内核基础、内存管理

这一周开始接触内核的基础知识,从x86的特权级别和内存管理方式入手,了解现代操作系统和CPU管理内存的底层原理。

学习x86平台特权级Ring0-Ring3模型,了解分段式内存管理机制、分页式内存管理机制,虚拟内存原理。

第十一周:Windows进程与线程知识

这一周,学习Windows内核中管理进程和线程的知识,学习进程和线程的基础数据结构EPROCESS、ETHREAD、PEB。

重点学习:Windows创建一个进程的基本过程,细节可以不用深究,但基本流程要知道,有哪些关键的步骤。

这一周完成后,对一个进程在Windows系统中是一个怎样的存在,从应用层到内核,有一个基本的认识。

第十二周:系统调用、中断与异常

这一周,重点弄懂系统调用和中断与异常两个最基本的内核概念,弄清楚它们的详细过程,Win32 API进入内核的路径和原理,内核分发系统调用的SSDT、SSDTShadow,分发中断的IDT。通过查看内核源码分析详细过程。

这一个阶段,可以结合微软曾经开源的Windows部分内核源码WRK来学习。

第四个月:内核技术进阶

进入第四个月,正式进入神秘的内核区域实战了!

第十三周:驱动开发入门

这一周,终于要开始正式编写Windows驱动啦!

首先学习使用WDK开发Windows内核驱动的基本步骤,了解DriverEntry函数、DriverObject、DeviceObject、SymbolLink、IRP这些基本概念。

然后学习驱动安装加载和卸载,同时学会使用工具加载和自己编程加载。

同时,学习内核日志输出,使用DebugView查看驱动输出的日志。

最后,掌握VirtualKD + VMware进行虚拟机内核调试,学会调试自己的驱动程序。

第十四周:ARK工具使用

这一周来学习一下ARK工具的使用,如PChunter,学习使用这些工具查看内核中的进程、驱动、系统调用表、内核钩子、应用层钩子等信息,并对前几周学习的内核知识进行复习巩固。

图片[4]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

 

第十五周:内核编程

这一周继续来深入学习内核编程,掌握使用DeviceIoCtrol与内核通信的编程,掌握内核中内存分配与释放。

学习内核的一些基本过滤框架和回调通知(进程、线程、模块、注册表等),实现一些安全防御功能(如进程保护、文件保护、注册表防护)。

第十六周:Rootkit技术

这一周,主要来学习一些Rootkit经常用到的技术:文件隐藏、进程隐藏等。

学习内核中一些关键数据结构:比如SSDT、IDT、GDT、全局进程列表、全局驱动模块列表、关机回调等,编程操作对这些数据结构进行操作(HOOK、Patch、断链等),通过修改内核数据结构,达到隐藏、回写等功能。

最后,再学习了解下64位下内核技术的一些区别,学习了解PatchGuard。

推荐学习资料

1、《windows核心编程》

图片[5]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

2、《深入解析Windows操作系统》

 

图片[6]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

 

3、《天书夜读:从汇编语言到Windows内核编程》

图片[7]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

4、《寒江独钓 windows内核安全编程》

图片[8]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

5、《Rootkits–Windows内核的安全防护》

图片[9]-Rootkits,黑客之颠!内核方向应该怎么学-民间安全 - 白帽子黑客在线学习安全交流平台

总结

以上就是四个月入门内核安全的学习路线了,需要说明的是,四个月的时间可能还是不太够,很多东西只能学个皮毛,但足够大家摸到这个门槛了。

大家在学习的时候,可以结合自己的实际情况进行缩短和增加学习时间。

比如你对C语言已经有基础了,就可以跳过这一部分。又比如你觉得汇编部分,一周不够,那就多加一周,适合自己的节奏就好。

大家对这份学习路线有什么疑问都可以在评论区告诉我哦。

 

 

 

 

 

 

 

© 版权声明
THE END
喜欢就支持一下吧
点赞13 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片