一款 x64dbg 自动化控制插件，通过Python控制x64dbg的行为，实现远程动态调试，解决了逆向工作者分析程序，反病毒人员脱壳，漏洞分析者寻找指令片段，原生脚本不够强大的问题，通过与Python相结合利用Python语法的灵活性以及其丰富的第三方库，加速漏洞利用程序的开发，辅助漏洞挖掘以及恶意软件分析。

一款 x64dbg 自动化控制插件，通过Python控制x64dbg的行为，实现远程动态调试，解决了逆向工作者分析程序，反病毒人员脱壳，漏洞分析者寻找指令片段，原生脚本不够强大的问题，通过与Python相结合利用Python语法的灵活性以及其丰富的第三方库，加速漏洞利用程序的开发，辅助漏洞挖掘以及恶意软件分析。插件下载好以后，请将该插件复制到x64dbg的plugins目录下，程序运行后会自动加载

已经带大家看过了如何通过WSK接口实现套接字通信，但WSK实现的通信是内核与内核模块之间的，而如果需要内核与应用层之间通信则使用TDK会更好一些因为它更接近应用层，本章将使用TDK实现，TDI全称传输驱动接口，其主要负责连接。更接近于应用层，在早期Win系统中常用于实现过滤防火墙，同样经过封装后也可实现通信功能，本章将运用TDI接口实现驱动与应用层之间传输字符串，结构体，多线程收发等技术。运行应用

注册了一个过滤点，此处我们必须要注意三个回调函数，classifyFn, notifyFn, flowDeleteFn 他们分别的功能时，事前回调，事后回调，事后回调，而WFP框架中我们最需要注意的也就是对这三个函数进行重定义，也就是需要重写函数来实现我们特定的功能。事前更重要一些，如果需要监控网络流量则需要在事前函数中做处理，而如果是监视则可以在事后做处理，既然要在事前进行处理，那么我们就来看看

AES算法是一种对称加密算法，全称为高级加密标准（Advanced Encryption Standard）。它是一种分组密码，以`128`比特为一个分组进行加密，其密钥长度可以是`128`比特、`192`比特或`256`比特，因此可以提供不同等级的安全性。该算法采用了替代、置换和混淆等技术，以及多轮加密和密钥扩展等机制，使得其加密效果优秀，安全性高，被广泛应用于各种领域中，如数据加密、文件加密、

Windows Driver Kit 是一种完全集成的驱动程序开发工具包，它包含 WinDDK 用于测试 Windows 驱动器的可靠性和稳定性，本次实验使用的是 WDK8.1 驱动开发工具包，该工具包支持 Windows 7到 Windows 10 系统的驱动开发。VS2013+WDK8.1 驱动开发环境的搭建我研究了很长时间今天总算搭建出来了，而且中途没有错误，这里就把搭建过程分享出来，首先介

在正式开始驱动开发之前，需要自行搭建驱动开发的必要环境，首先我们需要安装这款功能强大的程序开发工具，在课件内请双击ISO文件并运行内部的安装包，的安装非常的简单，您只需要按照提示全部选择默认参数即可，根据机器配置不同可能需要等待一段时间；

本章`LyShark`将带大家学习如何在内核中使用标准的`Socket`套接字通信接口，我们都知道`Windows`应用层下可直接调用`WinSocket`来实现网络通信，但在内核模式下应用层API接口无法使用，内核模式下有一套专有的`WSK`通信接口，我们对WSK进行封装，让其与应用层调用规范保持一致，并实现内核与内核直接通过`Socket`通信的案例。

在进行驱动开发之前，您需要先安装适当的开发环境和工具。首先，您需要安装`Windows`驱动开发工具包（WDK），这是一组驱动开发所需的工具、库、示例和文档。然后，您需要安装`Visual Studio`开发环境，以便编写和调试驱动程序。在安装WDK和`Visual Studio`之后，您还需要配置适当的项目设置，以便能够正确编译和构建驱动程序。

发现漏洞的第一步则是需要寻找到可利用的反汇编指令片段，在某些时候远程缓冲区溢出需要通过类似于jmp esp等特定的反汇编指令实现跳转功能，并以此来执行布置好的ShellCode恶意代码片段，LyScript插件则可以很好的完成对当前进程内存中特定函数的检索工作。在远程缓冲区溢出攻击中，攻击者也可以利用汇编指令jmp esp来实现对攻击代码的执行。该指令允许攻击者跳转到堆栈中的任意位置，并从那里执行