内核级Rootkit的加载和调试(3)

大多数操作系统都提供了可用作调试之用的函数，例如在Linux下，可加载模块能用printk()函数来打印调试信息，以及Windows内核级日志函数，例如DbgPrint()等。我们可以在某行代码后面加上这些调试语句，例如：

当我们收到这样的消息时，至少说明某行代码已经执行，此外还能给出更多的描述信息。虽然这种调试方法计较简陋，但却很方便。像SoftIce 或WinDbg之类的调试程序的配置和使用是很麻烦的，尽管它们功能很强大。使用调试语句时，返回码能打印出来，对于出错情况也有较为详细的描述。我们可以利用这些函数给出驱动程序执行期间的重要信息，然后使用适当的调试消息捕获工具记录下这些消息，从而进行简单的调试。

我们这里介绍的是一个常见的调试语句捕获工具：Debug View，到51CTO论坛下载。

我们说过，这和一般程序不同，驱动程序消息不会显示在标准输出设备上，也就是说，我们在屏幕上看不到这则消息。下面我们还是以上篇“内核级Rootkit技术入门”文章中编译好的驱动程序为例子，来说明如何利用Debug View来记录调试消息。我们的驱动程序非常简单，它只是在内核运行时，利用调试语句给出一则消息：“I am a driver and I loaded!”，然后卸载时给出消息“MyUnload called”。下面具体介绍如何利用专门的工具Debug View查看这些调试消息。