複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/BOOTKIT/10871889
複製
複製成功

BOOTKIT

鎖定
Bootkit是更高級的Rootkit,該概念最早於2005年被eEye Digital公司在他們的“BootRoot項目中提及,該項目通過感染MBR(磁盤主引記錄)的方式,實現繞過內核檢查和啓動隱身。可以認為,所有在開機時比Windows內核更早加載,實現內核劫持的技術,都可以稱之為Bootkit,例如後來的BIOS Rootkit , VBootkit,SMM Rootkit等。(以上摘自MJ0011《高級Bootkit——tophet》)
中文名
BOOTKIT
提    及
早於2005年
特    點
改寫NTLDR
平    台
操作系統

目錄

  1. 1 系統特點
  2. 2 系統防範

BOOTKIT系統特點

BOOTKIT具有以下幾個特點:
1.在Ring3下可完成Hook(改寫NTLDR);
2.注入內核的代碼沒有內存大小限制,也無需自己讀入代碼;
3.BOOTDRIVER驅動初始化時加載(依情況而定,也可hook內核其它地方);
4.理論上可以Hook各種版本ntldr;
5.理論上可以引導各個版本NT內核和內存相關boot.ini參數。

BOOTKIT系統防範

對於Bootkit,一旦它獲得執行機會,它會比操作系統更早被加載,從而對殺毒軟件後續的有效查殺造成很大的挑戰,有時這種挑戰甚至是強弱懸殊的。然而,如果把Bootkit加載的完整流程進行綜合考慮,則在其獲得執行機會之前,殺毒軟件仍然有不少的機會將其扼殺於搖籃之中,這是建立在一個前提,即殺毒軟件永遠比病毒先被安裝到系統裏。
因此,要對付Bootkit,不應該單純從Bootkit被執行後的行為着眼,而應該以全局的觀念,從源頭到結果各個環節綜合把關,也就是提高安全軟件的全程綜合監控能力,一旦在這個過程中Bootkit程序(或安裝Bootkit的原始病毒體)的行為被病毒軟件有效攔截,那麼殺毒軟件仍然可以與之一戰。