驅動級木馬

驅動級木馬就是運行在Ring0層的木馬程式

基本介紹

  • 中文名:驅動級木馬
  • 性質木馬程式
  • 許可權等級:Ring0
  • 影響:藍屏或者直接崩潰重啟
一般木馬也就是一個EXE,而正常情況下EXE是運行在 ring3 級別上的,但是 ring3 級別上的程式有一定許可權限制,而且有些比較高級的木馬後門之類的為了更好的隱藏就設計一個驅動,這個通常用來輔助木馬隱藏比如常見的使用 Rootkit 技術的木馬。 使用了 Rootkit 技術可以隱藏進程,檔案,連線埠等等,使用這種技術隱藏的木馬是比較難查殺到的,不過目前這個技術已經不是什麼秘密所以還是比較好查殺。
ring3 是一種許可權等級,Windows 系統運行在一種保護模式下,而一般的程式都是在 ring3 許可權運行,ring3 下是無法操作硬體的,而核心驅動運行在 ring0 等級下,可以直接操作硬體,所以一般你買這個攝像頭都會有專門的驅動就是這個原因,在DOS模式下是沒有這些等級的,DOS的模式稱為實模式,所以比如一些分區的工具(DOS下的)就沒有驅動,可以直接通過彙編操作硬碟。擴展一下,在WINDOWS下(特指WIN98,95)也可以運行DOS程式,是因為這種情況下的DOS(16位程式)是運行在一個叫虛擬86模式下的,這種分等級有個好處就是每個程式是在一個虛擬的空間中運行,程式自己以為自己是獨占整個機器運行(實際也是這樣的,能同時運行多個程式的原因是因為作業系統給每個程式不斷分時間片)這樣當程式出錯崩潰的時候不會造成系統崩潰,這些做過驅動開發的人應該很熟悉,經常寫驅動沒注意,一個小的錯誤造成驅動崩潰就會造成藍屏或者直接崩潰重啟。

相關詞條

熱門詞條

聯絡我們