BEIH/F：总线枚举接口劫持/伪造

作者：Azy
日期：2009-5-31

    如果说Audio Mixer劫持（AMH）是一种较为被动的穿越，那么BEIH/F则是主动的攻击。通过BEIH/F可以穿越地上HIPS/主动防御产品加载驱动。
    该方法原理与amh是相同的，最后驱动的加载也是走ExpWorkerThread->PipDeviceActionWorker->IopLoadDriver这条路径，从而绕过了HIPS/主防产品的拦截。但触发攻击的方式完全不同。
    OS中存在一些音频驱动，它们的Start=3，并且Enum

链接：

http://debugman.com/read.php?tid=3160

作者：Azy
日期：2009-04-23

   最近逆向的一点思路和总结，旨在分享。

核心思想：借助m$第一方驱动来加载驱动（通常是ZwLoadDriver），绕过一些HIPS/主防之类。谓之“寄宿”加载法（本人独创？）

方法1：dmload法。之前讲过（http://hi.baidu.com/azy0922/blog/item/3dd20222ba0941ac4723e875.html），通过创建一个特殊的dmload子键，替换掉dmboot实现重启加载。不过此法又要替换又要重启的，利用价值不

构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器

作者：Azy (hi.baidu.com/azy0922)
完成：2008-10-22

    优良的rootkit（以下简写为rk）通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样，优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令，让rk尽量回归其原始定义--获得“root”权限的kit的宗旨。而如何实现隐蔽是rk通信首先要考虑的问题。
    因此，出现了各式各样的隐蔽隐藏技术