数字电视这个东西也是有个loader的，见图  

for XP, 程序限制了只能写一次，demo：

http://www.brsbox.com/filebox/down/fc/a77089716f3bb15bcc2aa20256c0fc05

BEIH/F：总线枚举接口劫持/伪造

作者：Azy
日期：2009-5-31

    如果说Audio Mixer劫持（AMH）是一种较为被动的穿越，那么BEIH/F则是主动的攻击。通过BEIH/F可以穿越地上HIPS/主动防御产品加载驱动。
    该方法原理与amh是相同的，最后驱动的加载也是走ExpWorkerThread->PipDeviceActionWorker->IopLoadDriver这条路径，从而绕过了HIPS/主防产品的拦截。但触发攻击的方式完全不同。
    OS中存在一些音频驱动，它们的Start=3，并且Enum键下的

链接：

http://debugman.com/read.php?tid=3160

作者：Azy
日期：2009-04-23

   最近逆向的一点思路和总结，旨在分享。

核心思想：借助m$第一方驱动来加载驱动（通常是ZwLoadDriver），绕过一些HIPS/主防之类。谓之“寄宿”加载法（本人独创？）

方法1：dmload法。之前讲过（http://hi.baidu.com/azy0922/blog/item/3dd20222ba0941ac4723e875.html），通过创建一个特殊的dmload子键，替换掉dmboot实现重启加载。不过此法又要替换又要重启的

作者：Azy
日期：2009-4-9

   通过dmload.sys可以实现一种新型的驱动加载方式。
   在dmload的二次驱动重初始化时会调用dmload!DmLoadIsEncapPending来判断\Registry\Machine\System\CurrentControlSet\Services\dmload\EncapsulationPending子键是否存在，如果不存在则调用dmload!DmLoadIsDmioNeeded判断系统是否需要加载dmboot驱动（向disk驱动发送IOCTL_DISK_GET_DRIVE_LAYOUT_EX查询）。而如果存在EncapsulationPending键则直接跳过检测步骤，直接调用ZwLoadDriver加载dmboot驱动。

    xpsp2系统微端口驱动atapi.sys对IOCTL_IDE_PASS_THROUGH请求提交的参数过滤不严格导致了这个bug的产生。此bug可导致系统BSOD
   出问题的函数是atapi!IdePortSendPassThrough，函数内部遗漏了对用户层提交过来的InputBufferLength和OutputBufferLength与DataBufferSize进行比较验证，过滤掉非法请求的操作。
   漏洞产生的原因：当给InputBufferLength与OutputBufferLength赋一个比较小的值时（比如一个0x10，一个0xc），对于METHOD_BUFFERED方式的IOCTL_IDE_PASS_THROUGH

构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器

作者：Azy (hi.baidu.com/azy0922)
完成：2008-10-22

    优良的rootkit（以下简写为rk）通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样，优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令，让rk尽量回归其原始定义--获得“root”权限的kit的宗旨。而如何实现隐蔽是rk通信首先要考虑的问题。
    因此，出现了各式各样的隐蔽隐藏技术。几

    呵呵，很垃圾，但是可以避免再做个别处理了。

VOID __stdcall HandleMapData(IN PFILE_OBJECT FileObject,
    IN PLARGE_INTEGER FileOffset,
    IN ULONG Length,
    IN ULONG Flags,
    OUT PVOID *Bcb,
    OUT PVOID *Buffer
)
{