内核级Rootkit的加载和调试(1) 

DebugView是一款本地调试软件，它能捕获驱动程序的调试输出信息。DebugView不仅能够捕获用户模式的应用程序产生的调试输出，而且还能捕获Windows内核本身或/和内核模式设备驱动程序所产生的调试输出信息。对于后者，我们需要选中“Capture”菜单中的“Capture Kernel”选项，或者在工具栏中单击齿轮形状的“Capture Kernel”按钮（如果该按钮上有一个红色的叉，你就需要再按一下；否则说明已经设定为捕捉内核状态了），或者使用热键Ctrl+K。

DebugView也有命令行模式，但限于篇幅，我们在此只介绍在图形用户界面下的使用方法。Debug View程序无需安装，解压后便可直接使用。首先打开该程序，按照上面介绍的捕获系统内核驱动程序的方法设置，然后利用InstDrv安装并启动我们的驱动程序，这时我们就能捕获驱动程序发出的消息了，如下图所示：

图4  DebugView 从内核模式驱动程序捕获的输出信息

下面是工作中经常用到的功能，我们在此加以介绍：

插入注释

通过选择“Edit”菜单的“Append Comment”菜单项，我们就能在当前输出窗口中键入注释并回车，从而向输出中添加注释。

清屏

利用工具栏上的“clear”按钮能够清除当前程序产生的输出消息。

输出窗口内容的保存

我们要想将DebugView窗口中的内容保存成一个扩展名为.log的文件，可以选中 “File”菜单中的“Save”或“Save As”菜单项，或者使用组合键Ctrl+S。此外，我们开可以利用“Edit”中的“Copy”菜单项，或组合键Ctrl+C将选中的内容复制到剪贴板，然后保存在适当的地方。

将消息记录到文件中

为了将DebugView程序捕获的记录输出成为像我们在输出窗口看到的样子的文件，我们要使用“Files”菜单中的“Log to File”或“Log to File As”菜单项，或者工具栏中的“Log to File”按钮，或者使用组合键Ctrl+O也可以。然后设置文件的名称和最大尺寸等。如果选择了“wrap”选项，当文件尺寸达到其最大值时，DebugView将回卷到文件起始处。

如果选择了“Create New Log Every Day”项，DebugView就不再限制日志文件的尺寸，但它会为每天的日志新建一个文件，该文件的名称是你规定的文件名加上当前日期。

当记录活动仍在进行的时候，工具栏“Log to File”按钮中的箭头是绿色的，要停止记录，可以单击该按钮或者选择 “File” 菜单中的“Log to File”菜单项即可。如果记录文件达到最大尺寸，记录活动就会停下来，工具栏“log file”按钮中的箭头变成红色的。

三、小结

本文向读者介绍加载和调试内核级Rootkit的一些简易方法和工具，其中具体介绍了InstDrv和DebugView这两款小工具的使用。实际上，这些方法只适合于开发期间的简单调试，对于更加复杂的调试工作，我们可以使用SoftIce 或WinDbg之类的调试程序；对于“产品级”的Rootkit的加载，我们需要更加高级的技术，我们将在会面的文章中详细介绍。