# eBPF系统视频教程 ## 基础教程* 1.课程介绍* 2.eBPF介绍* 3.eBPF工作机制(组成)* 4.BCC工具集源码编译* 5.编译安装内核源码* 6.第一个eBPF程序 * 7.动态插桩技术介绍* 8.kprobes原理* 9.uprobes原理* 10.静态插桩技术介绍* 11.tracepoint原理* 12.USDT原理* 13.动态USDT* 14.调用栈回溯## BCC * 15.BCC组件与特性* 16.文件操作追踪* 17.python使用环境* 18.funcount案例讲解* 19.stackcount案例讲解* 20.其它tarce案例讲解* 21.BCC开发与内部实现原理* 22.BCC的调试## bpftrace* 23.bpftrace组件与特性* 24.bpftrace安装* 25.bpftrace的工具介绍* 26.bpftrace对比Dtrace* 27.第一个bpftrace程序* 28.bpftrace探针类型* 29.bpftrace控制流* 30.bpftrace运算符* 31.bpftrace变量* 32.bpftrace函数* 33.cpu相关工具与使用* 34.其它各种相关工具* 35.函数参数与返回值修改(rootkit相关)## 第三方工具与嵌入式平台* 36.eBPF在arm架构介绍* 37.树莓派安装android系统* 38.android相关辅助工具* 39.android上eBPF环境搭建介绍  * 40.eCapture抓包工具介绍* 41.eCapture在android上源码编译* 42.ebpf开发之go环境搭建* 43.android上hook开发-write * 44.eCapture工具源码分析* 45.基于eCapture魔改介绍* 46.ebpf与seccomp介绍* 47.分析apk基础思路* 48.基于ebpf对so分析* 49.基于ebpf过反调试* 50.linux上的ebpf工具移植* 51.基于android源码方式运行ebpf* 52.对比linux其它分析工具(perf、ftrace)* 53.总结与eBPF相关资料 

# linux的rootkit对抗视频教程(edr底层原理)  ## 基础* 1.课程介绍* 2.各大安全厂商的安全产品讨论(hids、edr)* 3.编译安装最新kernel源码* 4.编写第一个内核程序* 5.linux内核双机调试环境搭建* 6.第一个内核程序源码调试* 7.日志输出规范* 8.驱动文件接收命令行参数* 9.字符设备* 10.Mutex* 11.字符设备读写(r0与r3)* 12.r0与r3通信其它方式与实现* 13.Process Info(上)* 14.Process Info(中)* 15.Process Info(下)* 16.scheduler* 17.系统调用实现原理* 18.修改内核源码添加系统调用号
## rootkit技术
* 19.内核hook基础* 20.Syscall Hooking* 21.进程保护* 22.隐藏目录* 23.键盘记录器* 24.过滤文件读写* 25.进程凭证-自主提权(Credentials)* 26.Ftrace Hook* 27.进程隐藏* 28.内核模块注入* 29.模块隐藏* 30.隐藏网络端口* 31.隐藏用户登录
## rootkit检测
* 32.netfilter hook* 33.绕过netfilter思路* 34.kprobe实现原理* 35.process事件监控(运行、注入、拷贝、退出等)* 36.检测process(模块、线程、凭证等)* 37.检测驱动模块(加载、隐藏)* 38.检测syscall系统调用* 39.检测network(创建、监听、绑定等)
## 其它* 40.IDT表及hook原理* 41.检测IDT中断例程* 42.arm架构hook框架实现* 43.扫描内存* 44.内核中ELF自举* 45.总结