火哥windows内核五期

**《火哥 Windows 内核五期课程》**是一套围绕 Windows 操作系统内核机制与底层开发技术打造的进阶型系统课程，主要面向有一定 C/C++ 基础或系统编程经验的开发者，帮助学习者深入理解 Windows 内核结构、驱动开发原理以及系统级调试与安全机制，从而具备分析和开发 Windows 底层程序的能力。

课程从 Windows 操作系统整体架构讲起，系统介绍用户态与内核态的区别、Windows 内核模块组成、进程与线程调度机制、虚拟内存管理、I/O 管理器、对象管理器以及安全子系统等核心内容，使学员建立对 Windows 内核运行机制的完整认知。同时结合系统调用流程分析，让学习者理解应用程序如何一步步进入内核执行。

在驱动开发部分，课程重点讲解 Windows 驱动模型（WDM/WDF）、驱动加载与卸载机制、设备对象与符号链接、IRP（I/O 请求包）处理流程，以及常见的字符设备驱动开发方法，并结合实际案例演示驱动的编写、编译、签名与调试过程，帮助学员掌握驱动开发的基本工程能力。

课程进一步深入内核高级机制，包括内核钩子技术、SSDT/Shadow SSDT、内核回调机制、对象回调、进程保护与反调试技术等内容，同时讲解内核态与用户态通信方式，如IOCTL通信、共享内存以及事件机制，使学员能够理解复杂系统级功能的实现原理。

在调试与分析部分，课程重点介绍WinDbg调试工具的使用方法，包括内核调试环境搭建、符号加载、断点设置、内存分析、崩溃转储分析（Dump分析）以及蓝屏问题排查等内容，帮助学员具备独立定位系统级问题的能力。同时也会涉及性能分析与系统行为监控方法。

课程还会涉及一定的安全与对抗知识，例如驱动隐藏技术、内核防护机制、权限提升原理以及系统安全设计思路，使学员理解操作系统安全体系的工作方式，从防御与分析角度提升系统认知能力。

在项目实践部分，课程通常通过多个综合案例进行训练，例如实现基础驱动功能、系统信息监控工具、进程管理工具、文件过滤驱动等项目，将理论知识与实际开发结合起来，强化动手能力与工程经验。

总体而言，《火哥 Windows 内核五期课程》是一套偏底层、偏实战的操作系统内核进阶课程，通过系统化讲解Windows内核机制与驱动开发技术，帮助学习者从应用层走向系统底层开发，提升对操作系统原理的理解深度，并具备进行系统级开发、调试与分析的能力，为从事系统开发、安全研究或底层驱动开发相关工作打下坚实基础。

课程目录：

火哥windows内核五期/
│ ├── 火哥内核上/
│ │ ├── 12.窗口/
│ │ │ ├── 12.窗口文档.png (0.48 MB)
│ │ │ ├── 4.窗口保护完成_ev.mp4 (1180.83 MB)
│ │ │ ├── 3.窗口保护HOOKAPI获取_ev.mp4 (1202.75 MB)
│ │ │ ├── 2.ETWHOOK窗口保护准备前奏_ev.mp4 (1186.58 MB)
│ │ │ └── 1.ETWHOOK原理_ev.mp4 (1023.14 MB)
│ │ ├── 7.APC/
│ │ │ ├── 7.APC文档.zip (1.83 MB)
│ │ │ ├── 5.挂靠_ev.mp4 (2111.58 MB)
│ │ │ ├── 2.APC插入_ev.mp4 (1673.10 MB)
│ │ │ ├── 3.内核APC执行过程_ev.mp4 (1583.90 MB)
│ │ │ ├── 1.APC初始化,R3APC注入2_ev.mp4 (1375.13 MB)
│ │ │ ├── 1 APC初始化,R3APC注入1_ev.mp4 (55.89 MB)
│ │ │ └── 4.APC用户执行_ev.mp4 (1593.17 MB)
│ │ ├── 2.保护模式/
│ │ │ ├── 2.保护模式必看.zip (1.83 MB)
│ │ │ ├── 6.中断门_ev.mp4 (533.11 MB)
│ │ │ ├── 5.调用门_ev.mp4 (588.10 MB)
│ │ │ ├── 11.幽灵地址_ev.mp4 (1238.28 MB)
│ │ │ ├── 8.任务段_ev.mp4 (923.58 MB)
│ │ │ ├── 17.TLB_ev.mp4 (331.66 MB)
│ │ │ ├── 3.DB_G_ev.mp4 (630.23 MB)
│ │ │ ├── 7.陷阱门与劫持int3作业_ev.mp4 (614.22 MB)
│ │ │ ├── 4.权限检测_ev.mp4 (622.48 MB)
│ │ │ ├── 18.控制寄存器_ev.mp4 (344.67 MB)
│ │ │ ├── 15.29912杂项_ev.mp4 (590.85 MB)
│ │ │ ├── 9.任务门_ev.mp4 (349.28 MB)
│ │ │ ├── 14.29912_ev.mp4 (570.15 MB)
│ │ │ ├── 13.页基址_ev.mp4 (918.94 MB)
│ │ │ ├── 2.段的初探_ev.mp4 (632.21 MB)
│ │ │ ├── 10.101012分页前戏_ev.mp4 (611.99 MB)
│ │ │ ├── 12.页属性_ev.mp4 (738.89 MB)
│ │ │ ├── 16.缓存_ev.mp4 (422.26 MB)
│ │ │ └── 1.CPU科普_ev.mp4 (567.89 MB)
│ │ ├── 10.DPC与定时器/
│ │ │ ├── 10.DPC与定时器文档.zip (1.83 MB)
│ │ │ └── 1.DPC与定时器_ev.mp4 (850.43 MB)
│ │ ├── 11.同步/
│ │ │ ├── 11.同步资料.png (0.48 MB)
│ │ │ ├── 1.原子指令锁_ev.mp4 (930.20 MB)
│ │ │ ├── 4.事件信号处理_ev.mp4 (577.59 MB)
│ │ │ ├── 3.KeWaitForSingleObject分析_ev.mp4 (852.37 MB)
│ │ │ ├── 2.等待块结构_ev.mp4 (762.23 MB)
│ │ │ ├── 5.信号量与互斥体_ev.mp4 (898.77 MB)
│ │ │ └── 6.互斥体_ev.mp4 (904.20 MB)
│ │ ├── 6.句柄表/
│ │ │ ├── 6.句柄表资料.zip (1.83 MB)
│ │ │ ├── 2.保护进程_绝杀.mp4 (4458.65 MB)
│ │ │ ├── 3.私有句柄表.mp4 (3226.69 MB)
│ │ │ ├── 1.全局句柄表.mp4 (6044.72 MB)
│ │ │ ├── 4.句柄防止降权.mp4 (7832.51 MB)
│ │ │ └── 4.句柄防止降权_ev.mp4 (3064.85 MB)
│ │ ├── 5.进程线程/
│ │ │ ├── 5.进程线程必看.zip (1.83 MB)
│ │ │ ├── 3.线程结构01_ev.mp4 (1739.69 MB)
│ │ │ ├── 6.被动切换_ev.mp4 (779.79 MB)
│ │ │ ├── 2.进程_ev.mp4 (2156.82 MB)
│ │ │ ├── 1.KPCR_进程概念_ev.mp4 (1184.07 MB)
│ │ │ ├── 5.线程主动切换_ev.mp4 (930.53 MB)
│ │ │ └── 4.线程查找_ev.mp4 (782.33 MB)
│ │ ├── 8.项目/
│ │ │ ├── 1.获取模块.mp4 (3886.20 MB)
│ │ │ ├── 3.win10通讯与R3封装.mp4 (3513.05 MB)
│ │ │ ├── 5.读内存姿势.mp4 (3632.50 MB)
│ │ │ ├── 11.远程CALL完成 游戏测试.mp4 (5172.77 MB)
│ │ │ ├── 14.易语言模块封装.mp4 (4194.87 MB)
│ │ │ ├── 13.自动化加壳签名.mp4 (2914.27 MB)
│ │ │ ├── 12.隐藏驱动.mp4 (3541.71 MB)
│ │ │ ├── 7.写内存.mp4 (2747.14 MB)
│ │ │ ├── 2.通讯.mp4 (4534.28 MB)
│ │ │ ├── 4.驱动安装.mp4 (2987.91 MB)
│ │ │ ├── 09.让ntoskrnl保护我们的进程.mp4 (1442.87 MB)
│ │ │ └── 10.远程call.mp4 (2125.70 MB)
│ │ ├── 9.回调/
│ │ │ └── 1.进程线程模块回调_ev.mp4 (585.04 MB)
│ │ ├── 4.系统调用/
│ │ │ ├── 2.系统调用进内核_ev.mp4 (1241.64 MB)
│ │ │ ├── 3.系统调用返回R3_ev.mp4 (728.46 MB)
│ │ │ ├── 第四章4.SSDThook_ev.mp4 (987.84 MB)
│ │ │ └── 1.系统调用1_ev.mp4 (474.91 MB)
│ │ ├── 3.驱动开发/
│ │ │ ├── 3.链表_ev.mp4 (1005.76 MB)
│ │ │ ├── 08.驱动内存加载1_ev.mp4 (1347.38 MB)
│ │ │ ├── 10.云编译_ev 播放不了.txt
│ │ │ ├── 1.驱动helloworld_ev.mp4 (652.40 MB)
│ │ │ ├── 09.内存加载2_ev.mp4 (2967.52 MB)
│ │ │ ├── 05.蓝屏分析_ev.mp4 (1540.15 MB)
│ │ │ ├── 10.云编译_Compress.mp4 (550.40 MB)
│ │ │ ├── 06.驱动通信1_ev.mp4 (2313.61 MB)
│ │ │ ├── 2.驱动基础1_Compress.mp4 (110.09 MB)
│ │ │ ├── 07.通信封装_ev.mp4 (1373.37 MB)
│ │ │ └── 4.驱动断链_ev.mp4 (1389.64 MB)
│ │ ├── 1.环境配置/
│ │ │ └── 1.环境配置_ev.mp4 (895.56 MB)
│ │ └── 火哥内核上文档.png (0.48 MB)
│ ├── 火哥内核下/
│ │ ├── 5.调试/
│ │ │ ├── 5.调试文档.png (0.48 MB)
│ │ │ ├── x5_06.单步与硬件_Compress.mp4 (189.16 MB)
│ │ │ ├── x5_01.调试体系_Compress.mp4 (178.43 MB)
│ │ │ ├── x5_02.假消息发送_Compress.mp4 (279.50 MB)
│ │ │ ├── x5_03.调试等待事件_Compress.mp4 (215.42 MB)
│ │ │ ├── x5_07.内存断点_Compress.mp4 (53.03 MB)
│ │ │ ├── x5_05.INT断点原理_Compress.mp4 (208.49 MB)
│ │ │ └── x5_04.调试事件返回_Compress.mp4 (166.74 MB)
│ │ ├── 6.进程伪装/
│ │ │ ├── 6.进程伪装说明.zip (1.83 MB)
│ │ │ ├── x6_04.伪装完成_Compress.mp4 (346.67 MB)
│ │ │ ├── x6_03.修改PEB64_Compress.mp4 (284.47 MB)
│ │ │ ├── x6_02.伪装文件对象_Compress.mp4 (325.26 MB)
│ │ │ └── x6_01.伪装进程1_Compress.mp4 (187.51 MB)
│ │ ├── 8.VT/
│ │ │ ├── 8.VT说明.png (0.48 MB)
│ │ │ ├── 11.事件注入_ev.mp4 (960.45 MB)
│ │ │ ├── 08.SSDT_SHADOW失败_ev.mp4 (2325.98 MB)
│ │ │ ├── 05.VT框架完成_ev.mp4 (814.74 MB)
│ │ │ ├── 02.VT检测_ev.mp4 (572.94 MB)
│ │ │ ├── 07.VT退出_msr拦截的前戏_ev.mp4 (857.50 MB)
│ │ │ ├── 10.异常拦截_ev.mp4 (1149.78 MB)
│ │ │ ├── 01.VT概述_ev.mp4 (410.04 MB)
│ │ │ ├── 03.初始化VMON区_ev.mp4 (495.77 MB)
│ │ │ ├── 04.VMX_HOST_GUEST区填充_ev.mp4 (1742.72 MB)
│ │ │ ├── 09.让我们的VT支持WIN10_ev.mp4 (1662.08 MB)
│ │ │ └── 06.Cpuid拦截，框架完成_ev.mp4 (2572.37 MB)
│ │ ├── 3.X64/
│ │ │ ├── 3.X64资料.zip (1.83 MB)
│ │ │ ├── 05.x64分页_ev.mp4 (885.00 MB)
│ │ │ ├── 09.系统调用1_ev.mp4 (587.97 MB)
│ │ │ ├── 03.X64段简介_ev.mp4 (410.35 MB)
│ │ │ ├── 12.进程回调_ev.mp4 (1284.14 MB)
│ │ │ ├── 06.隐藏可执行内存_ev.mp4 (959.41 MB)
│ │ │ ├── 11.内核系统调用_ev.mp4 (850.82 MB)
│ │ │ ├── 13.突破WIN10映射物理页_ev.mp4 (604.36 MB)
│ │ │ ├── 01.X64入门_ev.mp4 (474.42 MB)
│ │ │ ├── 02.x64汇编细节_ev.mp4 (777.70 MB)
│ │ │ ├── 07.注入第一天_ev.mp4 (1076.65 MB)
│ │ │ ├── 10.R3SSDT表_ev.mp4 (581.96 MB)
│ │ │ ├── 04.调用门_ev.mp4 (913.82 MB)
│ │ │ └── 08.隐藏注入线程_ev.mp4 (566.40 MB)
│ │ ├── 4.X64异常/
│ │ │ ├── 4.X64异常文档.png (0.48 MB)
│ │ │ ├── x4_14.SEH异常修复_Compress.mp4 (241.56 MB)
│ │ │ ├── x4_07.VEHBUG修复讲解_Compress.mp4 (26.13 MB)
│ │ │ ├── x4_11.SEH全局展开_Compress.mp4 (155.72 MB)
│ │ │ ├── x4_12.最后一道防线_Compress.mp4 (151.43 MB)
│ │ │ ├── x4_04.32位异常派发流程_Compress.mp4 (169.62 MB)
│ │ │ ├── x4_06.VEH无痕HOOK_Compress.mp4 (271.10 MB)
│ │ │ ├── x4_13.x64SEH_Compress.mp4 (171.33 MB)
│ │ │ ├── x4_02.模拟异常流程_Compress.mp4 (89.71 MB)
│ │ │ ├── x4_03.异常派发_Compress.mp4 (177.86 MB)
│ │ │ ├── x4_10.SEH局部展开_Compress.mp4 (108.24 MB)
│ │ │ ├── x4_01.CPU异常简介_Compress.mp4 (111.95 MB)
│ │ │ ├── x4_09.SEH编译器扩展_Compress.mp4 (91.26 MB)
│ │ │ ├── x4_08.SEH异常_Compress.mp4 (140.39 MB)
│ │ │ └── x4_05.VEH逆向分析_Compress.mp4 (202.91 MB)
│ │ ├── 1.开幕/
│ │ │ ├── 1.开幕资料.zip (1.83 MB)
│ │ │ └── 1.开讲第一天(座谈大会)_ev.mp4 (650.99 MB)
│ │ ├── 7.调试自建/
│ │ │ ├── 3.修复BUG_ETWHOOK调试API.mp4 (4077.20 MB)
│ │ │ ├── 5.首次断点绕过PEB检测.mp4 (3511.52 MB)
│ │ │ ├── 2.调试代码修复,未完成.mp4 (2285.98 MB)
│ │ │ ├── 4.读写函数完成.mp4 (3998.41 MB)
│ │ │ └── 1.调试自建的介绍.mp4 (458.89 MB)
│ │ ├── 2.内存/
│ │ │ ├── 1.VAD私有内存_ev.mp4 (572.04 MB)
│ │ │ ├── 2.映射内存锁页_ev.mp4 (1272.97 MB)
│ │ │ ├── 4.修改页属性_ev.mp4 (676.87 MB)
│ │ │ └── 3.页帧数据库-6大链表_ev.mp4 (749.18 MB)
│ │ └── 火哥内核下资料.zip (1.83 MB)
│ └── VT-全/
│ │ ├── 16.VTEPT_HOOK2.mp4 (250.61 MB)
│ │ ├── 12.EPT概念阐述.mp4 (123.15 MB)
│ │ ├── 14.EPT处理.mp4 (241.21 MB)
│ │ ├── 08.SSDT_SHADOW失败_ev.mp4 (2325.98 MB)
│ │ ├── 04.VMX_HOST_GUEST区填充.mp4 (346.82 MB)
│ │ ├── 02.VT检测_ev.mp4 (572.94 MB)
│ │ ├── 05.VT框架完成_ev.mp4 (814.74 MB)
│ │ ├── 18.VT过VMP虚拟化.mp4 (323.45 MB)
│ │ ├── 13.VTEPT构建页表.mp4 (180.85 MB)
│ │ ├── 06.Cpuid拦截，框架完成_ev.mp4 (2572.37 MB)
│ │ ├── 03.初始化VMON区.mp4 (118.12 MB)
│ │ ├── 09.让我们的VT支持WIN10_ev.mp4 (1662.08 MB)
│ │ ├── 07.VT退出_msr拦截的前戏_ev.mp4 (857.50 MB)
│ │ ├── 15.EPTHOOK.mp4 (320.29 MB)
│ │ ├── 17.EPT_HOOK03.mp4 (592.28 MB)
│ │ ├── 01.VT概述.mp4 (104.80 MB)
│ │ ├── 11.事件注入_ev.mp4 (960.45 MB)
│ │ └── 10.异常拦截_ev.mp4 (1149.78 MB)