采用Rookit 技术的驱动级病毒木马（又称影子驱动）已经成为一种潮流，但对付这种病毒木马，杀毒软件却显得有气没力了，要么是发现不了，要么是发现了清除不了，卡巴也不例外！现在已经见怪不怪了，这些天在写关于手动杀毒的文章，其中提到的是利用Procexp 、IceSword 来协助查杀，刚才发现有现成的图解教程，在这里提供给大家学习学习！

介绍一下用Procexp查看系统加载的驱动的方法。

1）启动procexp

2）在菜单栏选择View->Show Lower Pane 

3）在菜单中选择View->Lower Pane View->View DLL或在工具栏中选择“View DLL”， 

4）用鼠标选择System进程，则当前系统加载的驱动程序在下面的列表中被列举出，如图

查看动态加载的驱动，例如Procexp本身的驱动就是动态加载的，原理是首先EXE释放出PROCEXP100.SYS到%systemRoot%\system32\Drivers目录下，动态加载后删除此文件。

Procexp的查看系统当前加载的驱动程序功能，可以让我们找到那些通过动态加载的可疑驱动程序，发现Rootkit级木马的行踪。

另一个重量级工具IceSword 有一个查看SSDT（系统服务描述表）的功能，即可以查看那些驱动程序是否替换了系统服务表中的系统内核调用，但对于那些不替换的驱动它是不会显示的。

IceSword之所有可以查看一些Rookit木马进程，也是使用了驱动技术。

补：不管你用什么工具，找到Rookit 驱动级病毒木马，都应该先在注册表中删除其键值，

HKLM/System/currentcontrolset/Enum/Root/Llegacy_ 驱动名（病毒文件名）

HKLM/System/currentcontrolset/services/ 驱动名（病毒文件名）

HKLM/System/controlset001(002,003 中也有相同内容)/Enum/Root/Llegacy_ 驱动名（病毒文件名）

HKLM/System/controlset001(002,003 中也有相同内容)/services/ 驱动名（病毒文件名）

清除方法，用冰刃打开注册表，并展开以上项目并删除。