BOOTKIT

Bootkit是更高級的Rootkit,該概念最早於2005年被eEye Digital公司在他們的“BootRoot"項目中提及,該項目通過感染MBR(磁碟主引記錄)的方式,實現繞過核心檢查和啟動隱身。可以認為,所有在開機時比Windows核心更早載入,實現核心劫持的技術,都可以稱之為Bootkit,例如後來的BIOS Rootkit , VBootkit,SMM Rootkit等。(以上摘自MJ0011《高級Bootkit——tophet》)

Bootkit有什麼特點

BOOTKIT具有以下幾個特點:

1.在Ring3下可完成Hook(改寫NTLDR);

2.注入核心的代碼沒有記憶體大小限制,也無需自己讀入代碼;

3.BOOTDRIVER驅動初始化時載入(依情況而定,也可hook核心其它地方);

4.理論上可以Hook各種版本ntldr;

5.理論上可以引導各個版本NT核心和記憶體相關boot.ini參數。

Bootkit的防範

對於Bootkit,一旦它獲得執行機會,它會比作業系統更早被載入,從而對防毒軟體後續的有效查殺造成很大的挑戰,有時這種挑戰甚至是強弱懸殊的。然而,如果把Bootkit載入的完整流程進行綜合考慮,則在其獲得執行機會之前,防毒軟體仍然有不少的機會將其扼殺於搖籃之中,這是建立在一個前提,即防毒軟體永遠比病毒先被安裝到系統里。

因此,要對付Bootkit,不應該單純從Bootkit被執行後的行為著眼,而應該以全局的觀念,從源頭到結果各個環節綜合把關,也就是提高安全軟體的全程綜合監控能力,一旦在這個過程中Bootkit程式(或安裝Bootkit的原始病毒體)的行為被病毒軟體有效攔截,那么防毒軟體仍然可以與之一戰。

相關詞條

相關搜尋

熱門詞條

聯絡我們