什么是驱动级保护？

什么是驱动级保护？比如病毒有什么是驱动级保护？

保护有2类：一是隐藏，二是防杀防删
隐藏技术一般就是修改内核函数和内核修改数据结构
防删一般就是修改内核函数，防杀一般采用修改内核函数，但是比较隐蔽的做法是修改数据结构
以上就是个大概。需要知道的是驱动程序一旦运行就进入内核空间，只有进入内核空间的程序才有机会修改这些函数和数据结构。如果想了解更多，请参阅相关书籍

用户程序运行在ring3级（用户级），所以很多底层操作要受到限制，而驱动程序运行在ring0级（系统级）。这两个级别是一种保护机制，低编号的环具有高优先级，os核心处于0环，一般应用程序在外环；一个程序可以访问驻留在相同环或者较低特权环中的数据，可以调用驻留在相同或者较特权高环中的服务。也就是说驱动程序可以访问系统核心模块和各种驱动程序模块，当然更可以监视这些模块，当杀软要杀掉它时就可以自己采取一些保护动作。 驱动程序同样是有运行级别的（和ring0和ring3不是一个概念），否则应该哪个驱动先加载哪个后加载呢。系统是根据驱动模块加载入口声明的启动优先级判断的。驱动文件的优先级如果很高，那么系统就会优先加载的，甚至如果系统认为它是安全的，在安全模式下也会被加载（也就是说这样的病毒，安全模式下也很难杀掉）。 具体关于驱动的知识建议你看一下驱动开发或windows内核编程方面的书。