從 www.rootkit.com 網站上，
看到有人提到 native application，
而微軟也有資料描述這個native application。
是在windows上用所謂的native NT API，
也就是ntdll.dll裡面所export出來的API
而我們平常在用的都算是win32 subsystem。
當然windows除了win32 subsystem，
也還有POSIX和os/2這兩個subsystem，
不過，用的人也少多了～
倒是這一篇文章，
提到在boot的過程中，
用native application去bypass過VISTA的UAC。
問題是要先加進registry，
才能在boot過程中去執行這個native application。
這有點是蛋生雞雞生蛋的問題。
既然已經可以改registry了，
似乎就可做不少事。

但是我想到的是，
之前會有中毒了，
檔案砍不掉的問題。
倒是可以在boot的過程中去砍掉。


Ref: http://www.rootkit.com/newsread.php?newsid=773
Ref: http://technet.microsoft.com/zh-tw/sysinternals/bb897447(en-us).aspx