Буткит

Буткит — специализированный руткит, компрометирующий ранние компоненты загрузки: MBR, VBR или прошивку UEFI. Поскольку он выполняется раньше ОС и средств защиты, он может отключать защитные механизмы, перехватывать код ядра и переживать переустановку системы. Современные буткиты атакуют переменные UEFI и системный раздел EFI. Для обнаружения нужны проверка целостности прошивки, Secure/Measured Boot с TPM-аттестацией и офлайн-форензика загрузочного носителя. Меры защиты: UEFI Secure Boot с актуальными списками отзыва, пароли BIOS/прошивки, отключение устаревшей CSM-загрузки и полнодисковое шифрование для обнаружения вмешательства в цепочку загрузки.