Windows就会把所有没有签名的驱动文件找出来，在一个列表中显示出来，余下工作就要自己仔细去分析尝试了。
        

　　三、另附360论坛中和一个网友的交流记录：

　　[hellman]看了<<找出流氓软件的驱动保护>>这篇文章后有一些想法,仅供大家交流。其实数字签名技术由来已久,在98下就有,其实看是不是ms系统的驱动只需在运行里键入sigverif命令,通过一些设置就可以识别有签名和无签名的文件了,具体还可以看它的日志文件.不过有个疑问,系统的显卡等驱动不也是在这里吗?它们也同样没有ms的签名,也就只能通过信息来识别,什么intel之类的,如果如你说的伪造怎么办.有什么办法能知道sys文件保护的是那个病毒文件?这样就不会删错文件了.
  
　　[nslog]的确，这是一个很困难的，现在流氓软件都会把文件属性改为Intel之类的

　　我现在的处理办法是：

　　1、用这个办法可以把范围迅速缩小，只限于几个或者十几个文件，这样容易得多
　　2、对于一些“著名”的流氓软件驱动，一眼就能看出来（我一直希望建立这样的一个文件列表），但很困难
　　3、实在不行，只能靠经验。对于一些驱动，比如标明是rtl8039.sys，看起来象是RTL8039的网卡，但是我的机器
　　 根本没有装网卡，或者通过硬件管理器里面看到网卡的驱动文件不是这个，那么它就可疑。或者通过文件的建立时间来判断。但是没有一个100%可用的办法。

　　驱动保护本来就是一个比较高级和困难的处理办法，上面这些办法只是提供了一些思路和做法，不能做到完全准确。目前没有想到更好或者彻底的方式。
 
　　如果你有更好的想法，欢迎和我交流。