Bootkit是更高级的Rootkit,该概念最早于2005年被eEye Digital公司在他们的“BootRoot"项目中提及,该项目通过感染MBR(磁碟主引记录)的方式,实现绕过核心检查和启动隐身。可以认为,所有在开机时比Windows核心更早载入,实现核心劫持的技术,都可以称之为Bootkit,例如后来的BIOS Rootkit , VBootkit,SMM Rootkit等。(以上摘自MJ0011《高级Bootkit——tophet》)
BOOTKIT具有以下几个特点:1.在Ring3下可完成Hook(改写NTLDR);2.注入核心的代码没有记忆体大小限制,也无需自己读入代码;3.BOOTDRIVER驱动初始化时载入(依情况而定,也可hook核心其它地方);4.理论上可以Hook各种版本ntldr;5.理论上可以引导各个版本NT核心和记忆体相关boot.ini参数。
对于Bootkit,一旦它获得执行机会,它会比作业系统更早被载入,从而对防毒软体后续的有效查杀造成很大的挑战,有时这种挑战甚至是强弱悬殊的。然而,如果把Bootkit载入的完整流程进行综合考虑,则在其获得执行机会之前,防毒软体仍然有不少的机会将其扼杀于摇篮之中,这是建立在一个前提,即防毒软体永远比病毒先被安装到系统里。因此,要对付Bootkit,不应该单纯从Bootkit被执行后的行为着眼,而应该以全局的观念,从源头到结果各个环节综合把关,也就是提高安全软体的全程综合监控能力,一旦在这个过程中Bootkit程式(或安装Bootkit的原始病毒体)的行为被病毒软体有效拦截,那幺防毒软体仍然可以与之一战。
本文发布于:2023-03-25 19:10:07,感谢您对本站的认可!
本文链接:http://www.ranqi119.com/to/1679901471235660.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
