TDL-4应该是最近除了Stuxnet之外,技术最先进的病毒了。
概括来说,TDL-4的行为分下面几个部分:
1· Dropper:释放驱动和在引导感染模块里加载的病毒
2· 内核感染模块:感染MBR,保护hook安装,文件系统创建
3· 引导感染模块:也就是Bootkit部分
在分析bootkit部分的时候,需要知道详细的Windows启动过程,包括XP和Win7,32位和64位。所以最近做了一些这方面知识的学习,同时结合了TDL-4的一些分析,整理成了下面这张“高清无码大图”。分享出来,希望对有需要的人带来帮助。
