基于NTLDRBOOTKIT原理及实现解析.docVIP

本文是基于NTLDR的Bootkit原理及实现的介绍，Bootkit在安全领域被认为是一种高级的 Rootkit形式，对于用户的信息安全而言威胁巨大。本文意在讲述后如何映射内存和HOOK内核，以求更为巧妙的技术出现。 　　NTLDR是Windows NT系列内核的Osloader，当开机以后BIOS载入MBR，MBR载入DBR，然后DBR载入NTLDR，并将执行权转交给NTLDR，最后再来启 动内核。理论上讲NTLDR是最接近内核的，而且对NTLDR做HOOK，可以避免针对各种外设的编码工作，提高通用性。BOOTKIT具有以下几个特 点： 　　1.在Ring3下可完成Hook(改写NTLDR); 　　2.注入内核的代码没有内存大小限制，也无需自己读入代码; 　　3.BOOTDRIVER驱动初始化时加载(依情况而定，也可hook内核其它地方); 　　4.理论上可以Hook各种版本ntldr; 　　5.理论上可以引导各个版本NT内核和内存相关boot.ini参数。 　　本文适用范围仅限于Win2000 sp4、WinXp sp2、Win2003 sp1，暂时没有对PAE内核，x64和内存相关BOOT.INI参数提供支持。 　　一、NTLDR的HOOK： 　　要做NTLDR的BOOTKIT，我们首先面临的问题就是如何对NTLDR做HOOK?要对NTLDR做HOOK，那就首先要对NTLDR