• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

Daemon Tools自甘墮落 強行駐留用戶電腦

【編者按:現在Rootkit的被「利用率」越來越高了,這次是Demon Tools這款虛擬光驅軟體,它想做什麼呢?】

【賽迪網-IT技術報道】昨天無意中使用haiwei的rootkit檢測工具NIAPSoft AntiRootkit Tools檢查我的電腦,發現SSDT HOOK,對應的驅動文件名為sp??.sys(??字符為隨機的兩個字母,每次重啟就變),使用冰刃檢查SSDT HOOK明明看到這個驅動的路徑在c:/windows/system/drviers下,而在c:/windows/system/drviers下卻找不到該文件的任何影子,當然第一感覺是中了未知木馬,試著用冰刃恢復SSDT,再找,仍然找不到。

立即重啟系統,用WINPE引導,但WINPE下檢查這個文件也沒有任何結果。安裝了很多東東,天知道這玩意兒從哪兒來的。

記得以前看過一個來源於微軟知識庫的文章,當系統被rootkit入侵時,你無法預料最終會有什麼結果,因為rootkit程序,它可以做任何事,只要作者願意。眾所周知的sony數字版權軟體植入rootkit事件,在歐美引起過軒然大波,Sony事件的曝光,源自於Sysinternals的牛人Mark Russinovich,他在2005年10月30日的Blog中,首次披露了Sony的數字版權軟體包含Rootkit:Sony, Rootkits and Digital Rights Management Gone Too Far。這件事之後,大量木馬開始使用rootkit技術,而rootkit技術已經成為商業軟體的禁區:公眾無論如何都無法接受自己的電腦中被商業公司植入後門。

在微軟的知識庫中提到,對付rootkit,最安全的辦法是重置你的操作系統,也就是重裝。因為rootkit程序入侵你的系統後,該程序很可能會欺騙系統,導致你所看到的結果都是假象。通常情況下,可以用winpe把這樣的程序找到後刪除,再刪除與該程序相關的驅動、服務或其它加載項。但這次我被打敗了,我決定重裝。

當晚重裝了系統,把自己常用的幾個工具再裝上,打好系統補丁。當晚忘了用rootkit檢測工具檢查,後來的事實證明,這個決定太英明了,不然昨晚還不知幾點鐘能睡著。

今天在公司再用haiwei的這個工具一查,立即崩潰中,那個該死的rootkit又出來了。

並且肯定隱藏在我昨天安裝的那幾個工具軟體中。想想這東東總不會藏在幾個大個的商業軟體中,於是將昨天安裝的那幾個共享軟體一一卸載,再查,沒有任何改善:那個rootkit始終在我的電腦裡。對於搞反病毒的我來說,rootkit程序在我的電腦裡駐留是不可接受的。

於是決定把這幾個共享軟體在虛擬機中安裝測試,裝完就用haiwei的工具檢查是不是多了不明不白的東西。在試驗了10多個工具之後,終於在Daemon Tool lite版中找到它的蹤跡。這可是我長期使用的一個虛擬光盤軟體,我很難接受它變成流氓軟體的現實。在我安裝Daemon Tools時,也會避免安裝它的搜索插件和其它功能。嘗試卸載Daemon Tools,重啟發現這個rootkit仍然存在。

發現卸載Daemon Tools後,註冊表中HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/sptd驅動還在,將其屬性修改為禁用,重啟。再用冰刃和haiwei的工具檢查,發現那個sp??.sys沒有再加裁了,但是註冊表的HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/sptd鍵仍不可刪除。萬沒想到這個深受愛戴的共享軟體,已經徹底墮落為流氓,天知道Daemon tools要用rootkit來做什麼。

申明,我所安裝的Daemon Tools為官網下載,有該公司的數字簽名。

文件名:daemon4120-lite.exe,版本號4.12.00

MD5值:df48777f9e9876f3abacbcd8652d3caa

(

加入好友line@vga9721w
線上客服
@hd119