微点交流论坛

标题: 转载 Daemon Tools自甘堕落，使用rootkit技术强行驻留用户电脑 [打印本页]

作者: 点饭的百度空间 时间: 2008-3-25 18:29 标题: 转载 Daemon Tools自甘堕落，使用rootkit技术强行驻留用户电脑

转自：铁军的杀毒圈子
http://hi.baidu.com/litiejun/blo ... bceea9cbefd0d0.html

昨天无意中使用haiwei的rootkit检测工具NIAPSoft AntiRootkit Tools检查我的电脑，发现SSDT HOOK，对应的驱动文件名为sp??.sys（??字符为随机的两个字母，每次重启就变），使用冰刃检查SSDT HOOK明明看到这个驱动的路径在c:\windows\system\drviers下，而在c:\windows\system\drviers下却找不到该文件的任何影子，当然第一感觉是中了未知木马，试着用冰刃恢复SSDT，再找，仍然找不到。

立即重启系统，用WINPE引导，但WINPE下检查这个文件也没有任何结果。安装了很多东东，天知道这玩意儿从哪儿来的。

记得以前看过一个来源于微软知识库的文章，当系统被rootkit入侵时，你无法预料最终会有什么结果，因为rootkit程序，它可以做任何事，只要作者愿意。众所周知的sony数字版权软件植入rootkit事件，在欧美引起过轩然大波，Sony事件的曝光，源自于Sysinternals的牛人Mark Russinovich，他在2005年10月30日的Blog中，首次披露了Sony的数字版权软件包含Rootkit：Sony, Rootkits and Digital Rights Management Gone Too Far。这件事之后，大量木马开始使用rootkit技术，而rootkit技术已经成为商业软件的禁区：公众无论如何都无法接受自己的电脑中被商业公司植入后门。

在微软的知识库中提到，对付rootkit，最安全的办法是重置你的操作系统，也就是重装。因为rootkit程序入侵你的系统后，该程序很可能会欺骗系统，导致你所看到的结果都是假象。通常情况下，可以用winpe把这样的程序找到后删除，再删除与该程序相关的驱动、服务或其它加载项。但这次我被打败了，我决定重装。

当晚重装了系统，把自己常用的几个工具再装上，打好系统补丁。当晚忘了用rootkit检测工具检查，后来的事实证明，这个决定太英明了，不然昨晚还不知几点钟能睡着。

今天在公司再用haiwei的这个工具一查，立即崩溃中，那个该死的rootkit又出来了。

并且肯定隐藏在我昨天安装的那几个工具软件中。想想这东东总不会藏在几个大个的商业软件中，于是将昨天安装的那几个共享软件一一卸载，再查，没有任何改善：那个rootkit始终在我的电脑里。对于搞反病毒的我来说，rootkit程序在我的电脑里驻留是不可接受的。

于是决定把这几个共享软件在虚拟机中安装测试，装完就用haiwei的工具检查是不是多了不明不白的东西。在试验了10多个工具之后，终于在Daemon Tool lite版中找到它的踪迹。这可是我长期使用的一个虚拟光盘软件，我很难接受它变成流氓软件的现实。在我安装Daemon Tools时，也会避免安装它的搜索插件和其它功能。尝试卸载Daemon Tools，重启发现这个rootkit仍然存在。

发现卸载Daemon Tools后，注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驱动还在，将其属性修改为禁用，重启。再用冰刃和haiwei的工具检查，发现那个sp??.sys没有再加裁了，但是注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd键仍不可删除。万没想到这个深受爱戴的共享软件，已经彻底堕落为流氓，天知道Daemon tools要用rootkit来做什么。

申明，我所安装的Daemon Tools为官网下载，有该公司的数字签名。

文件名：daemon4120-lite.exe，版本号4.12.00

MD5值：df48777f9e9876f3abacbcd8652d3caa

作者: neohaly 时间: 2008-3-26 09:26
老兄，用deamon 3.47吧，我就在用这个

作者: woyao 时间: 2008-3-26 18:38
我用Virtual Drive Manager1.2.3
不用安装，又不用重启

作者: w88588w 时间: 2008-3-27 13:43
我的也用Virtual Drive Manager

作者: ballpointpen 时间: 2008-3-29 21:59
注册表里的有关sptd的键值项，大部分无法删除。

作者: qq200878 时间: 2008-3-30 09:57
这么做是为了突破SOARFORCE的防盗版保护，没办法

作者: gudan 时间: 2008-3-30 12:10
写这帖子的人很无聊，虚拟光驱如果要实现更加真实化，必须这么做，不和ｉｏ直接打交道如何实现虚拟硬件呢？至于后门只要没有监听、联网行为不能够定论吧，十分鄙视这样的帖子，分析不出来或者清除不掉就统统吧罪过推在别人头上，没气度、没风度～～，也好意思把自己说是混反病毒的

作者: mongoliaking 时间: 2008-4-3 00:07
我也再用Dt，看了这篇文章之后不想再用了。

作者: finixer 时间: 2008-4-15 15:22
同志，这个是sptd驱动.....

作者: 046569 时间: 2008-4-15 22:16
铁军的帖子，就当是改错题吧

作者: piaostorm 时间: 2008-4-16 13:27
这个是破解SOARFORCE之类的变态光盘防盗保护，或者你买正版光盘就行

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn