内核级Rootkit的加载和调试(1)

在上一篇文章《内核级Rootkit技术入门》中，我们给出了一个可以运行在系统内核并能从中卸载的驱动程序，本文将向读者介绍如何将编译好的驱动程序运行起来并察看它的调试语句给出的消息。换句话说，我们要做的是最简单的调试工作。
一、驱动程序的加载和执行

当我们开发Rootkit的时候，经常需要改变其功能，这时经常重复加载、运行、测试、停止和卸载这一系列的动作。加载和运行驱动程序的方法很多，我们这里介绍的是最简单的一种——利用工具软件InstDrv。

InstDrv是一款非常小巧的工具，它的.zip压缩包只有189KB。该工具可以动态地加载、运行、停止和卸载内核级驱动程序。该工具可以从网上下载，为了读者方便使用，该工具可以到论坛下载。

下面我们以上篇《内核级Rootkit技术入门》文章中编译好的驱动程序为例子，来说明如何利用InstDrv加载和卸载内核级驱动程序。InstDrv有两种使用模式，一种模式称为交互模式，它是图形用户界面；另一种模式是命令行模式，在命令行中使用。下面我们首先介绍交互模式的使用方法。