驱动级木马

驱动级木马就是运行在Ring0层的木马程序。一般木马也就是一个EXE，而正常情况下EXE是运行在 ring3 级别上的，但是 ring3 级别上的程序有一定权限限制，而且有些比较高级的木马后门之类的为了更好的隐藏就设计一个驱动，这个通常用来辅助木马隐藏比如常见的使用 Rootkit 技术的木马。 使用了 Rootkit 技术可以隐藏进程，文件，端口等等，使用这种技术隐藏的木马是比较难查杀到的，不过这个技术已经不是什么秘密所以还是比较好查杀。