ルートキットは署名されたドライバーファイルなしでWindowsに感染する方法を教えてください。
Windows 7 64ビット以降のバージョンには、ドライバー署名の強制が搭載されています。これにより、署名されていないドライバーのロードが防止されます。では、一部のカーネルモードルートキットはどのようにWindowsに感染するのでしょうか。ああ
たとえば、一部のユーザーがルートキットドロッパーをダウンロードして実行したとします。ルートキットは正確には何をしますか?
ありがとう。
TL; DR:権限の昇格またはバイパス
一般に、これらのドロッパーはOSのバグを悪用します。このドロッパーがカーネルの一部に書き込むことは不可能であるはずですが、バグがそれらを許可する方法があります。たとえば、バッファオーバーフローを悪用して、ほとんどすべてのことを実行できるポイントまで特権を増やすことができます。