Bootkit有什麼特點
BOOTKIT具有以下幾個特點:
1.在Ring3下可完成Hook(改寫NTLDR);
2.注入核心的代碼沒有記憶體大小限制,也無需自己讀入代碼;
3.BOOTDRIVER驅動初始化時載入(依情況而定,也可hook核心其它地方);
4.理論上可以Hook各種版本ntldr;
5.理論上可以引導各個版本NT核心和記憶體相關boot.ini參數。
Bootkit的防範
對於Bootkit,一旦它獲得執行機會,它會比作業系統更早被載入,從而對防毒軟體後續的有效查殺造成很大的挑戰,有時這種挑戰甚至是強弱懸殊的。然而,如果把Bootkit載入的完整流程進行綜合考慮,則在其獲得執行機會之前,防毒軟體仍然有不少的機會將其扼殺於搖籃之中,這是建立在一個前提,即防毒軟體永遠比病毒先被安裝到系統里。
因此,要對付Bootkit,不應該單純從Bootkit被執行後的行為著眼,而應該以全局的觀念,從源頭到結果各個環節綜合把關,也就是提高安全軟體的全程綜合監控能力,一旦在這個過程中Bootkit程式(或安裝Bootkit的原始病毒體)的行為被病毒軟體有效攔截,那么防毒軟體仍然可以與之一戰。