驱动级木马病毒的运行,关键是与杀软的驱动程序比启动速度。在 Window 7 及以前的系统版本中,对系统中驱动的启动并没有指定优先级顺序,到底哪一个最早加载是不确定的。
在 Windows 8 以及更高系统的 Windows 10 中,引入了针对此问题的新保护机制ELAM,全程:Early Launch Anti-Malware。该机制会优先加载有信任证书的杀毒软件的驱动程序,防止恶意驱动过早启动。
参考资料: