内核级Rootkit的加载和调试(2)

　　先将InstDrv压缩包抽取到合适的目录，例如C:\。然后在在 C:\ InstDrv目录中会看到一个绿色的InstDrv图标，双击该图标打开此程序，如下图所示：

　　图1 InstDrv程序的交互模式

　　在交互模式下，首先在“Full path of the driver”下面的文字框中输入要加载的驱动程序的绝对路径，对于本例而言，该地址是C:\myrootkit\objchk_wxp_x86\i386\mydriver.sys，然后就可以利用文字框下面的“Install”、“Start”、“Stop”和“Remove”按钮分别进行驱动程序的安装、运行、停止和卸载操作了。

　　图2 运行我们的驱动程序

　　当我们单击“Install”和“Start”按钮后，利用Win0bj程序(论坛下载地址)可以在\Driver目录中看到我们的驱动程序mydriver，如下图所示：

　　图3 利用Win0bj程序查看驱动程序（注意加红色下划线部分）

　　现在开始介绍InstDrv的命令行模式下的使用方法。在该模式下，我们同样需要使用驱动程序的绝对路径。此外，还有几个选项可用，这些选项的作用如下所示：

　　? /i 该选项用于安装驱动程序

　　? /u 该选项用于卸载驱动程序

　　? /s 使用该选项后，不会弹出任何消息，即使出错也如此。

　　? /? 显式帮助信息

　　下面用一个例子来说明命令模式的用法：

　　instdrv /i /s C:\myrootkit\objchk_wxp_x86\i386\mydriver.sys

　　该命令的作用是安静地安装驱动程序，并运行它。上面的命令行中使用了选项/i ，InstDrv将以“自动运行”的方式来安装该驱动程序，这意味着每次系统重启后该驱动程序将自动运行。这一点与交互模式下的安装截然相反，在交互模式下安装的驱动程序，系统重启后它不会自动运行，相反，我们必须手工运行驱动程序。

　　对于InstDrv而言，如果直接在命令行中输入该程序名的话，它会切换到交互模式。此外，如果InstDrv以命令行模式运行时遇到错误的话，一般也会切换到交互模式。但如果我们使用了/s选项的话，它就不会这样做了。因此，/s选项的作用是用于安静的安装一个驱动程序。