在本章中,我们将研究在微软Windows内核中实现的两个重要安全机制:Windows 8中引入的Early Launch Anti-Malware(ELAM)模块和Windows Vista中引入的内核模式代码签名策略。两种机制都旨在防止在内核地址空间中执行未经授权的代码,以使Rootkit更加难以破坏系统。我们将研究这些机制的实现方式,讨论它们的优缺点,并检查它们对Rootkit和Bootkit的有效性。
