Bootkit是一种高级的rootkit,比传统rootkit更具有危害性。MBR Bootkit是现阶段最具传播性、通用性和危害性的Bootkit技术。MBR Bootkit通过感染MBR(Master Boot Record,主引导记录)获得优先启动,从而在Windows内核启动之前加载和执行,并完成一系列的隐藏和系统控制操作。通过更早的执行可以绕过各种系统安全策略以及众多安全软件的检测,在攻防之中获得先机。MBR Bootkit从最初的概念验证代码,经过不断的演化和发展,融合了许多复杂的植入技术和自我保护技术,在攻击者手中已经展现出巨大的危害性。只有紧密关注MBR Bootkit的新发展和新变化,才能及时应对MBR Bootkit技术的新应用。本文基于MBR Bootkit现有的典型病毒样本的研究,深入分析和总结了MBR Bootkit的技术特点和危害。并结合MBR Bootkit的特点对目前Bootkit检测方法进行探讨。基于实用性上的考虑,确定通过特征匹配的方式检测MBR Bootkit。针对传统特征提取方式的弊端,从MBR Bootkit的分阶段执行的特点出发,提出多维的特征码提取方式,增强特征序列的执行段属性和功能属性,从而更完整的覆盖恶意行为。鉴于MBR Bootkit采用众多复杂的隐藏和保护技术给特征匹配检测带来了巨大的困难,本文对MBR Bootkit的检测提出了一种新的思路。针对MBR Bootkit在实模式阶段驻留内存的特性,提出通过扫描敏感物理内存检测是否存在恶意特征序列,从而绕过病毒的磁盘防护措施检测MBR Bootkit。考虑到MBR Bootkit感染后难以清除,所以针对MBR Bootkit感染磁盘的技术特点,用静态文件扫描检测结合磁盘过滤驱动技术进行综合防御检测。从而基于多维特征码设计MBR Bootkit综合检测系统,依据物理内存检测、静态文件扫描、驱动过滤防御方法所针对的检测对象的执行阶段,筛选具有较强针对性的特征进行匹配,避免对无用特征的匹配。