驅動級木馬

一般木馬也就是一個EXE，而正常情況下EXE是運行在 ring3 級別上的，但是 ring3 級別上的程序有一定權限限制，而且有些比較高級的木馬後門之類的為了更好的隱藏就設計一個驅動，這個通常用來輔助木馬隱藏比如常見的使用 Rootkit 技術的木馬。 使用了 Rootkit 技術可以隱藏進程，文件，端口等等，使用這種技術隱藏的木馬是比較難查殺到的，不過這個技術已經不是什麼秘密所以還是比較好查殺。

ring3 是一種權限等級，Windows 系統運行在一種保護模式下，而一般的程序都是在 ring3 權限運行，ring3 下是無法操作硬件的，而內核驅動運行在 ring0 等級下，可以直接操作硬件，所以一般你買這個攝像頭都會有專門的驅動就是這個原因，在DOS模式下是沒有這些等級的，DOS的模式稱為實模式，所以比如一些分區的工具（DOS下的）就沒有驅動，可以直接通過彙編操作硬盤。擴展一下，在WINDOWS下（特指WIN98,95）也可以運行DOS程序，是因為這種情況下的DOS（16位程序）是運行在一個叫虛擬86模式下的，這種分等級有個好處就是每個程序是在一個虛擬的空間中運行，程序自己以為自己是獨佔整個機器運行（實際也是這樣的，能同時運行多個程序的原因是因為操作系統給每個程序不斷分時間片）這樣當程序出錯崩潰的時候不會造成系統崩潰，這些做過驅動開發的人應該很熟悉，經常寫驅動沒注意，一個小的錯誤造成驅動崩潰就會造成藍屏或者直接崩潰重啓。