微点交流论坛 - 主动防御 - 转载 Daemon Tools自甘堕落，使用rootkit技术强行驻留用户电脑

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 转载 Daemon Tools自甘堕落，使用rootkit技术强行驻留用户电脑

1/2

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 转载 Daemon Tools自甘堕落，使用rootkit技术强行驻留用户电脑

转自：铁军的杀毒圈子
http://hi.baidu.com/litiejun/blo ... bceea9cbefd0d0.html

昨天无意中使用haiwei的rootkit检测工具NIAPSoft AntiRootkit Tools检查我的电脑，发现SSDT HOOK，对应的驱动文件名为sp??.sys（??字符为随机的两个字母，每次重启就变），使用冰刃检查SSDT HOOK明明看到这个驱动的路径在c:\windows\system\drviers下，而在c:\windows\system\drviers下却找不到该文件的任何影子，当然第一感觉是中了未知木马，试着用冰刃恢复SSDT，再找，仍然找不到。

立即重启系统，用WINPE引导，但WINPE下检查这个文件也没有任何结果。安装了很多东东，天知道这玩意儿从哪儿来的。

记得以前看过一个来源于微软知识库的文章，当系统被rootkit入侵时，你无法预料最终会有什么结果，因为rootkit程序，它可以做任何事，只要作者愿意。众所周知的sony数字版权软件植入rootkit事件，在欧美引起过轩然大波，Sony事件的曝光，源自于Sysinternals的牛人Mark Russinovich，他在2005年10月30日的Blog中，首次披露了Sony的数字版权软件包含Rootkit：Sony, Rootkits and Digital Rights Management Gone Too Far。这件事之后，大量木马开始使用rootkit技术，而rootkit技术已经成为商业软件的禁区：公众无论如何都无法接受自己的电脑中被商业公司植入后门。

在微软的知识库中提到，对付rootkit，最安全的办法是重置你的操作系统，也就是重装。因为rootkit程序入侵你的系统后，该程序很可能会欺骗系统，导致你所看到的结果都是假象。通常情况下，可以用winpe把这样的程序找到后删除，再删除与该程序相关的驱动、服务或其它加载项。但这次我被打败了，我决定重装。

当晚重装了系统，把自己常用的几个工具再装上，打好系统补丁。当晚忘了用rootkit检测工具检查，后来的事实证明，这个决定太英明了，不然昨晚还不知几点钟能睡着。

今天在公司再用haiwei的这个工具一查，立即崩溃中，那个该死的rootkit又出来了。

并且肯定隐藏在我昨天安装的那几个工具软件中。想想这东东总不会藏在几个大个的商业软件中，于是将昨天安装的那几个共享软件一一卸载，再查，没有任何改善：那个rootkit始终在我的电脑里。对于搞反病毒的我来说，rootkit程序在我的电脑里驻留是不可接受的。

于是决定把这几个共享软件在虚拟机中安装测试，装完就用haiwei的工具检查是不是多了不明不白的东西。在试验了10多个工具之后，终于在Daemon Tool lite版中找到它的踪迹。这可是我长期使用的一个虚拟光盘软件，我很难接受它变成流氓软件的现实。在我安装Daemon Tools时，也会避免安装它的搜索插件和其它功能。尝试卸载Daemon Tools，重启发现这个rootkit仍然存在。

发现卸载Daemon Tools后，注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驱动还在，将其属性修改为禁用，重启。再用冰刃和haiwei的工具检查，发现那个sp??.sys没有再加裁了，但是注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd键仍不可删除。万没想到这个深受爱戴的共享软件，已经彻底堕落为流氓，天知道Daemon tools要用rootkit来做什么。

申明，我所安装的Daemon Tools为官网下载，有该公司的数字签名。

文件名：daemon4120-lite.exe，版本号4.12.00

MD5值：df48777f9e9876f3abacbcd8652d3caa

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-3-25 18:29

neohaly
新手上路

积分 5
发帖 5
注册 2008-1-13

#2

老兄，用deamon 3.47吧，我就在用这个

※ ※ ※ 本文纯属【neohaly】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-26 09:26

woyao
新手上路

积分 10
发帖 10
注册 2007-8-29

#3

我用Virtual Drive Manager1.2.3
不用安装，又不用重启

※ ※ ※ 本文纯属【woyao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-26 18:38

w88588w
新手上路

积分 46
发帖 46
注册 2008-3-27

#4

我的也用Virtual Drive Manager

※ ※ ※ 本文纯属【w88588w】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-27 13:43

ballpointpen
中级用户

积分 436
发帖 434
注册 2006-6-20

#5

注册表里的有关sptd的键值项，大部分无法删除。

※ ※ ※ 本文纯属【ballpointpen】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-29 21:59

qq200878
中级用户

积分 456
发帖 452
注册 2007-11-17

#6

这么做是为了突破SOARFORCE的防盗版保护，没办法

※ ※ ※ 本文纯属【qq200878】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-30 09:57

gudan
高级用户

积分 605
发帖 579
注册 2007-7-20

#7

写这帖子的人很无聊，虚拟光驱如果要实现更加真实化，必须这么做，不和ｉｏ直接打交道如何实现虚拟硬件呢？至于后门只要没有监听、联网行为不能够定论吧，十分鄙视这样的帖子，分析不出来或者清除不掉就统统吧罪过推在别人头上，没气度、没风度～～，也好意思把自己说是混反病毒的

※ ※ ※ 本文纯属【gudan】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-30 12:10

mongoliaking
新手上路

积分 5
发帖 5
注册 2008-4-2

#8

我也再用Dt，看了这篇文章之后不想再用了。

※ ※ ※ 本文纯属【mongoliaking】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-3 00:07

finixer
新手上路

积分 1
发帖 1
注册 2008-4-15

#9

同志，这个是sptd驱动.....

※ ※ ※ 本文纯属【finixer】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-15 15:22

046569
版主

第五城市市长

积分 190
发帖 196
注册 2007-8-13

#10

铁军的帖子，就当是改错题吧

※ ※ ※ 本文纯属【046569】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-15 22:16

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号