@CI
2年前 提问
1个回答
Bootkit有哪些特点
安全侠
2年前
Bootkit是更高级的Rootkit,Bootkit特点:
在Ring3下可完成Hook,改写NTLDR;
注入内核的代码没有内存大小限制,也无需自己读入代码;
BOOTDRIVER驱动初始化时加载,依情况而定,也可hook内核其它地方;
理论上可以Hook各种版本ntldr;
理论上可以引导各个版本NT内核和内存相关boot.ini参数。
Bootkit和Rootkit的区别:
Bootkit是通过感染MB磁盘主引记录的方式对计算机进行攻击,而Rootkit则是对内存进行攻击;
Rootkit是捆绑在其他软件上以隐藏自己的文件和信息来进行攻击,而bookit则不需要进行软件捆绑;
Rootkit需要被攻击设备正常启动后才可以实施攻击,Bootkit则会在被攻击设备系统加载前进行攻击;
Bootkit注入内核的代码没有内存大小限制也不需要自己读代码,Rootkit不行;
Bootkit理论上可以引导各个版本的内核和内存参数,Rootkit不行。