@CI
2年前 提问
1个回答

Bootkit有哪些特点

安全侠
2年前

Bootkit是更高级的Rootkit,Bootkit特点:

  • 在Ring3下可完成Hook,改写NTLDR;

  • 注入内核的代码没有内存大小限制,也无需自己读入代码;

  • BOOTDRIVER驱动初始化时加载,依情况而定,也可hook内核其它地方;

  • 理论上可以Hook各种版本ntldr;

  • 理论上可以引导各个版本NT内核和内存相关boot.ini参数。

Bootkit和Rootkit的区别:

  • Bootkit是通过感染MB磁盘主引记录的方式对计算机进行攻击,而Rootkit则是对内存进行攻击;

  • Rootkit是捆绑在其他软件上以隐藏自己的文件和信息来进行攻击,而bookit则不需要进行软件捆绑;

  • Rootkit需要被攻击设备正常启动后才可以实施攻击,Bootkit则会在被攻击设备系统加载前进行攻击;

  • Bootkit注入内核的代码没有内存大小限制也不需要自己读代码,Rootkit不行;

  • Bootkit理论上可以引导各个版本的内核和内存参数,Rootkit不行。