引导工具包

对手可能会使用引导工具包在系统上保持持久性。引导工具包位于操作系统下方的层，可能使执行完全修复变得困难，除非组织怀疑使用了引导工具包并能相应地采取行动。 引导工具包是一种修改硬盘引导扇区的恶意软件变体，包括主引导记录 (MBR) 和卷引导记录 (VBR)。(引用: Mandiant M Trends 2016) MBR 是在 BIOS 完成硬件初始化后首先加载的磁盘部分。它是引导加载程序的位置。具有对引导驱动器的原始访问权限的对手可能会覆盖此区域，在启动过程中将执行从正常引导加载程序转移到对手代码。(引用: Lau 2011) MBR 将引导过程的控制权交给 VBR。与 MBR 的情况类似，具有对引导驱动器的原始访问权限的对手可能会覆盖 VBR，在启动过程中将执行转移到对手代码。