这篇研究报告深入研究了Windows内核的威胁,包括rootkit、引导工具包和BIOS植入物。报告指出,虽然大多数安全产品关注软件堆栈的高级别威胁,但对系统较低级别的关键部分(如内核空间、引导进程环境和固件)的可见性较低。如果攻击者获得对系统的特权访问权限并在此级别安装恶意组件,则用户的安全产品将无法检测和阻止威胁。报告还分析了这些威胁在过去七年中的演变情况,并根据行业在该领域提供的分析威胁数据展示了主要恶意软件类别。报告提供了60多个自2015年以来在野外观察到的低级威胁的详细分析,并讨论了高级威胁参与者如何适应现代系统中的当前防御机制,以及他们如何发展其技术。
