課程大綱: Windows內(nèi)核與高級(jí)調(diào)試培訓(xùn)
第一部分:Windows NT核心特征
(1.5 hours)
特殊的FS段,TEB,PCR,地址空間,虛擬內(nèi)存原理,系統(tǒng)調(diào)用,系統(tǒng)組件,HAL、內(nèi)核、執(zhí)行體、系統(tǒng)進(jìn)程(IDLE、SMSS.EXE、WinLogon.EXE),子系統(tǒng)
第二部分:ACPI基礎(chǔ)
(1 hour)
ACPI是BIOS和操作系統(tǒng)之間的重要接口,理解ACPI對(duì)于理解驅(qū)動(dòng)程序、電源管理和操作系統(tǒng)內(nèi)核都有著極其重要的意義。本章介紹的要點(diǎn)包括:ASL原理,編譯和執(zhí)行方法,設(shè)備ID,Control Method,AcpiDump工具,從驅(qū)動(dòng)調(diào)用ACPI CM,使用內(nèi)核調(diào)試跟蹤和調(diào)試ACPI腳本,UEFI結(jié)構(gòu),UEFI的模塊,UEFI Shell,UEFI的啟動(dòng)過(guò)程(模塊加載),UEFI的調(diào)試
第三部分:WinDBG精要
(1.5 hours)
WinDBG的命令類(lèi)型,常用命令,命令語(yǔ)法,調(diào)試符號(hào),符號(hào)文件的種類(lèi),符號(hào)服務(wù)器,定制調(diào)試事件的方法和重要的調(diào)試命令,軟件斷點(diǎn)、硬件斷點(diǎn),復(fù)雜的斷點(diǎn)命令,x86寄存器和反匯編技巧
第四部分:調(diào)試啟動(dòng)過(guò)程
(2 hours)
現(xiàn)場(chǎng)跟蹤Windows系統(tǒng)的啟動(dòng)過(guò)程,解析其中的重要步驟和關(guān)鍵細(xì)節(jié):內(nèi)核初始化,CPU初始化,執(zhí)行體的階段0和階段1初始化,SMSS,CSRSS和WinLogon,UserInit以及Shell。
第四部分:調(diào)試啟動(dòng)過(guò)程
現(xiàn)場(chǎng)跟蹤Windows系統(tǒng)的啟動(dòng)過(guò)程,解析其中的重要步驟和關(guān)鍵細(xì)節(jié):內(nèi)核初始化,CPU初始化,執(zhí)行體的階段0和階段1初始化,SMSS,CSRSS和WinLogon,UserInit以及Shell。
第五部分:內(nèi)存管理器
(1.5 hours)
內(nèi)存管理的多級(jí)架構(gòu),內(nèi)存管理器,大內(nèi)存頁(yè)及其使用,6大工作線程,內(nèi)核池,分頁(yè)內(nèi)核和非分頁(yè)內(nèi)核池,PFN數(shù)據(jù)庫(kù),虛擬地址空間的管理(VAD)
第六部分:棧
(2 hours)
詳細(xì)介紹棧的自動(dòng)增長(zhǎng)機(jī)制,棧幀的組織方法,并通過(guò)實(shí)例演示棧溢出攻擊的原理,通過(guò)Windows 7系統(tǒng)的真實(shí)案例介紹基于Cookie的溢出檢測(cè)機(jī)制,內(nèi)核態(tài)棧溢出,以及雙誤崩潰
第七部分:I/O子系統(tǒng)和內(nèi)核態(tài)驅(qū)動(dòng)
(1.5 hours)
I/O子系統(tǒng)架構(gòu),I/O管理器,驅(qū)動(dòng)程序類(lèi)型,設(shè)備樹(shù),ACPI,理解ACPI腳本,PCI總線概要,PnP,I/O子系統(tǒng)的建立過(guò)程,設(shè)備棧,PDO,F(xiàn)DO,IRP,常用的調(diào)試命令;驅(qū)動(dòng)驗(yàn)證器:驗(yàn)證原理,驗(yàn)證項(xiàng)目,啟用方法,使用WinDBG分析驗(yàn)證失敗,WHCK測(cè)試,實(shí)例分析
試驗(yàn):
(0.5hour)
分析雙誤異常導(dǎo)致的系統(tǒng)崩潰轉(zhuǎn)儲(chǔ)文件
第八部分:存儲(chǔ)和文件系統(tǒng)
(1 hour)
磁盤(pán)端口驅(qū)動(dòng),分區(qū)管理,卷,磁盤(pán)過(guò)濾驅(qū)動(dòng),Smart Card Reader的設(shè)備棧
第九部分:網(wǎng)絡(luò)
(1.5 hours)
背景,NT的網(wǎng)絡(luò)架構(gòu),WinSock API,LSP (Layered Service Provider),AFD,Kernel Socket,TCP/IP,NDIS,Windows Filter Platform (WFP)
第十部分:音視頻流
(1 .5 hours)
AVStrean(KS.sys)概要、架構(gòu),AVStream Mini驅(qū)動(dòng),USB Video,USB Camera設(shè)備棧;UAA,HD Audio,有關(guān)工具GraphEdit和KsStudio
第十一部分:系統(tǒng)崩潰和轉(zhuǎn)儲(chǔ)
(1.5 hours)
系統(tǒng)崩潰概覽,Windows藍(lán)屏崩潰(BSOD)的過(guò)程,系統(tǒng)轉(zhuǎn)儲(chǔ),轉(zhuǎn)儲(chǔ)文件的產(chǎn)生過(guò)程,轉(zhuǎn)儲(chǔ)失敗的原因,分析系統(tǒng)轉(zhuǎn)儲(chǔ)的方法,自動(dòng)分析,自動(dòng)分析的局限,真實(shí)案例解析:雙誤導(dǎo)致的崩潰,掛死在DPC,回退到錯(cuò)誤現(xiàn)場(chǎng)的方法,從棧上尋找線索
第十二部分:系統(tǒng)死鎖
(1.5 hours)
系統(tǒng)掛死,典型原因,解決方法,窗口子系統(tǒng)掛死,資源鎖,!locks,IRQL,掛死在高IRQL,中斷風(fēng)暴
加入高級(jí)會(huì)員獲得助教答疑
