5.4　小结

在本章中，你从Bootkit恶意软件威胁的角度了解了早期引导阶段的MBR和VBR以及重要的引导组件，如bootmgr和winload.exe。

如你所见，在引导过程的各个阶段之间转移控制并不像直接跳到下一个阶段那么简单。相反，通过各种数据结构（例如MBR分区表、VBR BIOS参数块和BCD）相关的几个组件决定了预引导环境中的执行流程。这种重要的关系也是Bootkit恶意软件如此复杂的原因之一，也是它们对引导组件进行了如此多的修改，以便将控制从最初的引导代码转移到它们自己的引导代码（偶尔来回切换，以执行基本任务）的原因之一。

在下一章中，我们将讨论引导进程的安全性，重点关注ELAM和微软的内核模式代码签名策略，这些策略击败了早期的Rootkit。