-
BOOTKIT
鎖定
- 中文名
- BOOTKIT
- 提 及
- 早於2005年
- 特 點
- 改寫NTLDR
- 平 台
- 操作系統
BOOTKIT系統特點
BOOTKIT具有以下幾個特點:
1.在Ring3下可完成Hook(改寫NTLDR);
2.注入內核的代碼沒有內存大小限制,也無需自己讀入代碼;
3.BOOTDRIVER驅動初始化時加載(依情況而定,也可hook內核其它地方);
4.理論上可以Hook各種版本ntldr;
5.理論上可以引導各個版本NT內核和內存相關boot.ini參數。
BOOTKIT系統防範
對於Bootkit,一旦它獲得執行機會,它會比操作系統更早被加載,從而對殺毒軟件後續的有效查殺造成很大的挑戰,有時這種挑戰甚至是強弱懸殊的。然而,如果把Bootkit加載的完整流程進行綜合考慮,則在其獲得執行機會之前,殺毒軟件仍然有不少的機會將其扼殺於搖籃之中,這是建立在一個前提,即殺毒軟件永遠比病毒先被安裝到系統裏。
因此,要對付Bootkit,不應該單純從Bootkit被執行後的行為着眼,而應該以全局的觀念,從源頭到結果各個環節綜合把關,也就是提高安全軟件的全程綜合監控能力,一旦在這個過程中Bootkit程序(或安裝Bootkit的原始病毒體)的行為被病毒軟件有效攔截,那麼殺毒軟件仍然可以與之一戰。
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:11次歷史版本
- 最近更新: 亡命听