三、驱动木马的发展：
    早期的驱动木马虽然采取了驱动形态达到隐藏自己避免查杀的目的，但是在安全模式里它仍然被发现了。因为Windows的“安全模式”不仅仅限于加载用户界面和启动项这些区别，它还包括各种驱动的“安全模式”，在安全模式里，为了确保Windows不会由于某个驱动文件的缺陷而崩溃——毕竟一部分人被迫进入安全模式就是因为遇到了某些设备驱动不兼容或存在问题而导致系统不能正常运行，大部分被标记为“不必要”的驱动在“硬件抽象层（HAL）”的干涉下，是不会被加载的，甚至显卡驱动也不能例外。所以此时Windows是相对安全的基于“默认硬件”运行的界面简陋的系统。操作系统厂商此举其实很好理解，想象一下如果你因为安装了某个设备的驱动程序而导致系统蓝屏，然后你来到安全模式里想要修复它，却不幸的发现安全模式也出现了蓝屏——因为这个驱动被系统加载了，如果这样，安全模式还有什么意义。于是，在这样的设计思想下，早期的驱动木马到了安全模式，还是很好清理的，因为那个时候，大部分开发者还处于开发Rootkit的试探阶段，谁也不敢贸然绕过这种安全体系。

    硬件抽象层（Hardware Abstraction Layer，HAL）是微软公司为了便于操作系统在不同硬件结构上进行移植而提出的将系统底层与硬件相关的部分独立运作的思想，HAL为系统实现了“硬件无关性”，即在不同的硬件平台上，硬件与操作系统的交互也不会有所差异，这样一来，硬件厂商开发驱动的难度便能大大降低，HAL将硬件的接口细节隐藏起来，并为操作系统提供一个标准硬件交互接口，目前所有的硬件驱动都工作在这个层面上，当外界硬件存在指令请求时，驱动程序响应请求并将指令通过HAL转换为系统核心层能理解的指令交给内核执行，如果未找到相应的驱动程序类型，则将其视为“默认硬件”（Default Hardware）处理，什么叫“默认硬件”呢？最简单的例子就是进入安全模式，这时候大部分驱动程序不会被加载，此时的系统便是工作于“默认硬件”上。

    然而在经历了一段时间的试炼以后，开发者的技术熟练了，胆子也大了，他们开始修改驱动模块的运行级别——系统的“默认硬件”是根据驱动模块加载入口声明的启动优先级判断的，对于绝对安全的驱动程序，它的优先级被提高了，于是系统无论在什么模式下都会加载它，例如键盘驱动、鼠标驱动、各种基础的系统设备驱动等，如果某个驱动文件的优先级被人为提高，系统就会将其视为必备驱动加载，而这个优先级的提高方法非常简单，只需要改动注册表的驱动模块分支里的一个数据而已。至此，即使在加载模块最少的“基于命令提示符的安全模式”下，这样驱动木马就可以不受阻碍的横行霸道了，即使是专业的计算机用户查杀也很困难了，更别说那么“菜鸟”们了。