【编者按：现在Rootkit的被“利用率”越来越高了，这次是Demon Tools这款虚拟光碟机 软体，它想做什麽呢？】 【赛迪网-IT技术报道】昨天无意中使用haiwei的rootkit检测工具 NIAPSoft AntiRootkit Tools检查我的电脑，发现SSDT HOOK，对应的驱动文件名为sp??.sys（??字 符为随机的两个字母，每次重启就变），使用冰刃检查SSDT HOOK明明看到这个驱动的路 径在c:\windows\system\drviers下，而在c:\windows\system\drviers下却找不到该文件 的任何影子，当然第一感觉是中了未知木马，试着用冰刃恢复SSDT，再找，仍然找不到。 立即重启系统，用WINPE引导，但WINPE下检查这个文件也没有任何结果。安装了很多东东 ，天知道这玩意儿从哪儿来的。 记得以前看过一个来源於微软知识库的文章，当系统被rootkit入侵时，你无法预料最终 会有什麽结果，因为rootkit程式，它可以做任何事，只要作者愿意。众所周知的sony数 字版权软体植入rootkit事件，在欧美引起过轩然大波，Sony事件的曝光，源自於 Sysinternals的牛人Mark Russinovich，他在2005年10月30日的Blog中，首次披露了Sony 的数字版权套装软体含Rootkit：Sony, Rootkits and Digital Rights Management Gone Too Far。这件事之後，大量木马开始使用rootkit技术，而rootkit技术已经成为商 业软体的禁区：公众无论如何都无法接受自己的电脑中被商业公司植入後门。 在微软的知识库中提到，对付rootkit，最安全的办法是重置你的作业系统，也就是重装 。因为rootkit程式入侵你的系统後，该程式很可能会欺骗系统，导致你所看到的结果都 是假像。通常情况下，可以用winpe把这样的程式找到後删除，再删除与该程式相关的驱 动、服务或其他载入项。但这次我被打败了，我决定重装。 当晚重装了系统，把自己常用的几个工具再装上，打好系统补丁。当晚忘了用rootkit检 测工具检查，後来的事实证明，这个决定太英明了，不然昨晚还不知几点钟能睡着。 今天在公司再用haiwei的这个工具一查，立即崩溃中，那个该死的rootkit又出来了。 并且肯定隐藏在我昨天安装的那几个工具软体中。想想这东东总不会藏在几个大个的商业 软体中，於是将昨天安装的那几个共用软体一一卸载，再查，没有任何改善：那个 rootkit始终在我的电脑里。对於搞反病毒的我来说，rootkit程式在我的电脑里驻留是不 可接受的。 於是决定把这几个共用软体在虚拟机中安装测试，装完就用haiwei的工具检查是不是多了 不明不白的东西。在试验了10多个工具之後，终於在Daemon Tool lite版中找到它的踪迹 。这可是我长期使用的一个虚拟光碟软体，我很难接受它变成流氓软体的现实。在我安装 Daemon Tools时，也会避免安装它的搜索插件和其他功能。尝试卸载Daemon Tools，重启 发现这个rootkit仍然存在。 发现卸载Daemon Tools後，注册表中 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驱动还在，将其属性修 改为禁用，重启。再用冰刃和haiwei的工具检查，发现那个sp??.sys没有再加裁了，但是 注册表的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd键仍不可删除 。万没想到这个深受爱戴的共用软体，已经彻底堕落为流氓，天知道Daemon tools要用 rootkit来做什麽。 来源:http://0rz.tw/0e3Pc --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 122.124.32.196 ※ 编辑: autoupdate 来自: 122.124.32.196 (03/28 16:30)