Le principe est assez simple : alors
que le chargeur de boot charge uniquement des binaires signés, rien dans
Windows 7 (ou dans toute autre version de Windows) ne permet de vérifier que ce
qui est chargé en mémoire correspond à ce qui est exécuté, ce qui fournit à ce
rootkit un moyen de charger et d'exécuter du code non signé avec les privilèges
noyau.
Mais exécuter le bootkit est une
autre histoire car pour cela, le pirate devrait avoir accès, physiquement, à
l'ordinateur attaqué, afin d'y insérer un disque contenant le rootkit – du
moins si Vbootkit 2.0 fonctionne comme
Vbootkit 1.0.
C'est cela, ou bien réussir à faire
démarrer l'utilisateur à partir d'un disque infecté. Pas impossible, mais tout de même
difficile.
tags
Avril 13, 2023
Mars 21, 2023