Bootkit

これはUEFI周り#1の部分的なやつ

Bootkitとは

OS起動前に実行されるマルウェアの手法の1つ

下位レベルのシステムを感染させる -> 検出が困難

OS再インストールでは消えない

Bootkit全てがこの動きなのかは分からないけど...

VBRを改ざんしてシステムの起動プロセスをハイジャックする

OSのコードより先にバックドアが仕組まれたマルウェアをロードする

https://gyazo.com/f215dba4873e1a6127f66ced60f54963

※この2つの図は上記のURLから引用している

BOOTRASHで起動プロセスをハイジャックする

たくさんのプロセスでハイジャックがなされる。このプロセスは特に気にしないことにした。

ただ、ここで行われるのはVFSの作成。そして、未使用領域(Unallocated Space)にマルウェアを実行するためのもの?を置く。unallocated spaceがOS外の領域なので、検知できない。(検出が困難な理由)

VFS : 独自の仮想ファイルシステム

これで図2のような起動プロセスになる準備ができている。この割り込みがOS起動前に完成することによって、常駐していろいろ傍受できる状態になる。

理解が薄いから、ぜひ詳しい人はこの記事の間違っているところとかを教えてください