Para começar a falar de bootkit, vou usar como referência o Win32/gapz bootkit.
O Win32/gapz bootkit ficou bem conhecido a alguns anos por trazer um novo conceito em relação aos bootkits que modifica apenas 4 bytes da boot record.
Uma das features do Win32/gapz, é a implementação de uma hidden storage, que seria um "buffer" escondido na memória para manter o payload secreto.
Para manter esse "buffer" secreto é utilizado uma AES (Advanced Encryption Standart) de 256 bits CBC (Cipher-text Block Chaining) para crypt/decrypt.
É uma IV (Initialization Value) diferente pra cada section, ou seja, cada section vai resultar em uma CBC diferente