Bootkit是更高级的Rootkit,该概念最早于2005年被eEye Digital公司在他们的“BootRoot"项目中提及,该项目通过感染MBR(磁碟主引记录)的方式,实现绕过核心检查和启动隐身。可以认为,所有在开机时比Windows核心更早载入,实现核心劫持的技术,都可以称之为Bootkit,例如后来的BIOS Rootkit , VBootkit,SMM Rootkit等。(以上摘自MJ0011《高级Bootkit——tophet》)
基本介绍
- 中文名BOOTKIT
- 提及早于2005年
- 特点改写NTLDR
- 平台作业系统
Bootkit有什幺特点
BOOTKIT具有以下几个特点
1.在Ring3下可完成Hook(改写NTLDR);
2.注入核心的代码没有记忆体大小限制,也无需自己读入代码;
3.BOOTDRIVER驱动初始化时载入(依情况而定,也可hook核心其它地方);
4.理论上可以Hook各种版本ntldr;
5.理论上可以引导各个版本NT核心和记忆体相关boot.ini参数。
Bootkit的防範
对于Bootkit,一旦它获得执行机会,它会比作业系统更早被载入,从而对防毒软体后续的有效查杀造成很大的挑战,有时这种挑战甚至是强弱悬殊的。,如果把Bootkit载入的完整流程进行综合考虑,则在其获得执行机会之前,防毒软体仍然有不少的机会将其扼杀于摇篮之中,这是建立在一个前提,即防毒软体永远比病毒先被安装到系统里。
,要对付Bootkit,不应该单纯从Bootkit被执行后的行为着眼,而应该以全局的观念,从源头到结果各个环节综合把关,也就是提高安全软体的全程综合监控能力,一旦在这个过程中Bootkit程式(或安装Bootkit的原始病毒体)的行为被病毒软体有效拦截,那幺防毒软体仍然可以与之一战。