病毒为什么能通过驱动程序进行自我保护

自我保护的思路：
驱动程序运行在内核空间，它能够修改系统内核
我们现在用的win32 API函数最终都会映射到内核级对应的函数，比如说我们在应用程序在调用TerminateProcess函数杀进程，那么最终内核会使用NTTerminateProcess函数。如果我们修改这个内核函数，或者修改SSDT表，那么久可以达到免杀的效果。一般情况下还要修改NtTerminateThread函数确保万全
还有驱动隐身和进程隐藏，都是通过修改内核函数或者数据结构来解决这个问题。当然修改内核函数比较容易发现，因此很多黑客修改数据结构来起到相同效果
普通用户还是使用杀毒软件来解决，除非你去分析内核，还原修改的部分