Phoenix BIOS Tool 技术总结 一、ROM 结构 BIOS.440.ROM (512KB) 是 Phoenix BIOS 4.0 格式，包含： BootBlock (BB.ROM): 最后 16KB，未压缩，启动引导代码 模块区: 32个模块，使用 LZINT 压缩算法 二、模块提取流程 原始ROM → 按已知偏移提取 → 压缩模块文件 (.ROM/.AML/.PGX) 每个模块有固

首先演示下进程伪装的效果 伪装前 伪装后 ark显示的信息 通过测试发现，可以伪装成系统进程或者其他正常应用，来迷惑ark工具的查询；相比隐藏进程而言更加稳定和隐蔽。 伪装进程的实现方式： 1.傀儡进程，这种方法3环也可实现，原理类似LoadPE,在进程内存中手动拉伸修复我们的可执行程序。 2.修改进程结构体信息达到伪装。这种进程伪装核心思想:把要伪装成进程的各种信息复制到当前进程，并且不能干扰操

进程隐藏作用 1.使用户无法在任务管理器中看到进程 2.躲避安全软件的信息查询 进程隐藏有两种实现方式： 1.通过hook 查询进程api来过滤要保护的进程，例如ZwQuerySystemInformation； 2.是通过抹除系统结构中关于进程的信息，如断链EPROCESS中的ActiveProcessLinks(进程活跃链表)等；   第一种方法没啥好说的，哪个API查就hook哪个

驱动加载与ark遍历原理 正常通过服务加载的驱动会显示在ark工具的列表里 CreateServiceA OpenSCManagerA StartServiceA ControlService DeleteService 原理是通过ZwQuerySystemInformation 或者驱动入口参数的_DRIVER_OBJECT结构中的双向循环链表遍历到 ULONG EnumKernel(PUCHA

正常通信流程： R3->符号链接->设备对象->驱动对象->驱动功能 驱动通信实质上是设备通信 设备是挂在驱动上的DeviceObject上面的 正常IO通信 R0： //创建设备名称 UNICODE_STRING Devicename; RtlInitUnicodeString(&Devicename,L\"\\\\Device\\\\MyDevice\"); //创建设备