什么是驱动级保护?
答案:2 悬赏:50 手机版
解决时间 2021-02-13 02:44
- 提问者网友:了了无期
- 2021-02-12 19:14
什么是驱动级保护?比如病毒有什么是驱动级保护?
最佳答案
- 五星知识达人网友:一把行者刀
- 2021-02-12 19:30
保护有2类:一是隐藏,二是防杀防删
隐藏技术一般就是修改内核函数和内核修改数据结构
防删一般就是修改内核函数,防杀一般采用修改内核函数,但是比较隐蔽的做法是修改数据结构
以上就是个大概。需要知道的是驱动程序一旦运行就进入内核空间,只有进入内核空间的程序才有机会修改这些函数和数据结构。如果想了解更多,请参阅相关书籍
隐藏技术一般就是修改内核函数和内核修改数据结构
防删一般就是修改内核函数,防杀一般采用修改内核函数,但是比较隐蔽的做法是修改数据结构
以上就是个大概。需要知道的是驱动程序一旦运行就进入内核空间,只有进入内核空间的程序才有机会修改这些函数和数据结构。如果想了解更多,请参阅相关书籍
全部回答
- 1楼网友:有你哪都是故乡
- 2021-02-12 20:18
用户程序运行在ring3级(用户级),所以很多底层操作要受到限制,而驱动程序运行在ring0级(系统级)。这两个级别是一种保护机制,低编号的环具有高优先级,os核心处于0环,一般应用程序在外环;一个程序可以访问驻留在相同环或者较低特权环中的数据,可以调用驻留在相同或者较特权高环中的服务。也就是说驱动程序可以访问系统核心模块和各种驱动程序模块,当然更可以监视这些模块,当杀软要杀掉它时就可以自己采取一些保护动作。
驱动程序同样是有运行级别的(和ring0和ring3不是一个概念),否则应该哪个驱动先加载哪个后加载呢。系统是根据驱动模块加载入口声明的启动优先级判断的。驱动文件的优先级如果很高,那么系统就会优先加载的,甚至如果系统认为它是安全的,在安全模式下也会被加载(也就是说这样的病毒,安全模式下也很难杀掉)。
具体关于驱动的知识建议你看一下驱动开发或windows内核编程方面的书。
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯