PCI Rootkit的设计与实现

2006年二月．本文作者曾撰文一篇，介绍了一种通过高级配置电源接口《Advanced Configu ration and Power Interface，ACPI），在系统BIOS中植入恶意Rootkit的方法。在该方法中，BIOS中的ACPI表可以为使用ACPI机器语言（ACPI Machine Language．AML）所编写的恶意代码所覆盖，后者包含了能与系统内存以及I／O空间相交互的恶意指令．

玩转调试机制——终极Rootkit隐藏之道

近几年来，出现了很多可以在系统被黑过后，仍然保持持久化的技术和方法。其中大多将焦点关注于系统调用表，还有的集中于修改中断处理句柄，剩下的则在VFS（虚拟文件系统）的层面上打主意。然而，这些方法都是显式的修改了底层的操作系统，很容易就可以被检测出来。

论BIOS感染的持久化之道

在过去的几年中．有关此主题的讨论和文章都不在少数。然而．除了所谓的会将主板BIOS清零的CIH病毒．以及Pinczakko的一些逆向尝试之外，我们再也没有见过其他的恶意BIOS感染实例．更不用说其他想深入的研究其工作原理和实现细节了。大多数人都认为这是一项老得不能再老的技术，早已被研究得滚瓜烂熟．有时还会误把它们和MBR病毒搅和在一起。

嵌入式系统安全概览及其在Hacking方法学上的应用

嵌入式系统已经越来越深入到人们的生活。在日常家居中，“智能“（Smart）系统的使用已将我们带入了”智能家庭”时代．由它可以来处理家居安全．电气应用．多媒体娱乐和家庭网络等设施。在自动化控制方面，嵌入式系统为监控目的。提供了更多、更方便的基于网络的支持．如L0nW0rk、Bacnet和×10等等。

多态病毒与多态引擎

病毒在其发展的初级阶段，形态还比较单一，反病毒人员可以有充足的时间来仔细分析病毒代码，找出其中的指令序列，作为检测病毒的可靠特征。那时开发一个基于字符串扫描方法的病毒检测程序，使其保持在一个较高的病毒检测率水平是可实现的，病毒的处理尚在人们的控制之中。

Biologger，生物特征记录程序

随着技术的发展，现今的生物计量识别（biometric）设备已经得到了广泛的应用。广义上来说，能够识别生物计量特征，以及将生物性特征转换为电信号的所有设备都属于生物计量设备的范畴之内。正如我们在很多电影里所看到的，或者在生活中感受到的，通过生物特征的访问控制和身份识别系统，

对抗EPO病毒

本文主要通过对病毒Win32，CTX，Phage的直接分析和研究，论述了所谓的”入口点隐藏技术”（Entry—Point Obscurjng，EPO）病毒的编码技术。要充分理解本文所讲的内容，需要假定读者具有了IA32汇编语言和PE文件格式的相关知识，此外，我们还建议读者首先阅读PeterSzor和WasonHan写的关于Win32.CTX.Phage病毒的描述文章，做好前导准备。

Mac OS X内核Rootkit开发指南

引言 1）背景 介绍困扰着不同操作系统的Rootkit已经由来已久．Linux、Windows，还有各种类BSD等系统都受到了Rootkit的极大危害。目前广泛使用的一类”内核Rootkit”．是原来”文件转移Rootkit”的衍生和发展。这种发展趋势的必然性，来源于Rootkit和Osiris、Tripwire等安全软件之间的竞争——后者的出现使得Rootkit开发者不得不在内核空间中寻找更加隐秘的途径．以达到渗透和颠覆系统的目的。

远程利用Windows内核漏洞——通向Ring 0之路

大约十年前，Solar Designer在Bugtraq邮件列表上发表了一封邮件，其中包含了windows NT Website V1．1e产品的远程缓冲区漏洞利用的详细文档及相关源码。在我的记忆中，这应该是最早发表的windows下缓冲区溢出漏洞利用的文章了。