好家伙， 翻看论坛的帖子， 我的贴子排在前面， 但是写的内容没有一点点营养， 实在抱歉占用公共资源， 后续写学的东西， 尽可能有一些营养， 对大家有帮助。 

    今日看了小迪的ARK工具实战：某驱动保护的分析绕过实战（上）：绕过这一课程， 发现课程里提到的一本书是《Windows内核安全与驱动开发》， 书我已经下载下来了，  一起分享给大家， 不然没啥营养。 

链接：https://pan.quark.cn/s/4f223cd2ab14?pwd=zMhB
提取码：zMhB

  书中有一部分内容写的挺有意思， 就是藤子原来的工程师，大学刚毕业， 第一个项目是写一个高级版的共享邻居，  客户诉求是， 大家共同能访问网络共享盘的文件情况下， 也都能修改里面的内容， 但是不能影响到共享盘的内容。    作者用到的办法就是利用内核。
      以下是原文：
     在那个项目中我们写了种种功能来“愚弄”操作系统。这听起来像是一个磁盘相关的驱动,实际上却是一个文件系统过滤驱动。它过滤文件系统的行为，比如:读取文件时，我们让操作系统以为在操作普通的本地文件系统，其实却是去网络上取文件内容:而修改文件时，我们也让操作系统以为修改成功了，实际上数据并没有写入到网络上的服务器中，而是写到本地了。这是我第一次接触这类驱动程序。

    个人感觉这个就是我想要学的东西，  因为这个吧， 理论上就跟昨天说的一样，  换汤不换药的东西，  想要绕过检测， 就要用定位的方式， 去欺骗ACE系统， 让它误以为我们的电脑没有注入这些东西。   更好玩的是， 内核后缀名都是.SYS  ， 我通过everything搜索ACE关键词，  看到了C盘有这么个内核驱动文件。  是藤子的。 暴力的方式替换sys肯定是不行的， 我感觉服务器上会有心跳检测这么一说， 没有回包就会账号3-7天， 所以我一个小卡拉米， 才起步学习这块的东西的人，要实现过ACE防封， 其实说白了就是在跟鹅厂里面专业工程师去battle攻防问题， 本质上就是在拼技术。  可想而知难度不小~ 

     但是话说回来，闲暇时间大把大把的有， 思路理清晰， 这就跟下棋一样， 就好比象棋，我在跟鹅厂的工程师下棋，   车马相士将这些棋子， 其实就是书中所说的各类知识点，  比如内核编程环境， 字符串，内存的分配与释放， 文件、注册表、线程、 应用与内核通信。  串口过滤， 内核过滤， 扫盘， 文件系统过滤、文件系统透明与加密，等等等让人看的头皮都发麻的知识点， 其实就是这些工程师可以用的棋子。   而我， 单枪匹马， 除了无限条命以外，  看样子是没有一个兵可以用。  

     没有兵就造兵， 时间大把的有， 哪怕在百度上搜一下DDOS攻击代码， 用现有的电脑， A一下藤子的服务器， 也是进步。 

   继续看小迪的逆向课程，看差不都， 能学到多少， 尽可能我都同步到群里。