科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Daemon Tools自甘堕落 强行驻留用户电脑

Daemon Tools自甘堕落 强行驻留用户电脑

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在Rootkit的被“利用率”越来越高了,这次是Demon Tools这款虚拟光驱软件,它想做什么呢?

作者:李铁军 来源:赛迪网 2008年3月26日

关键字: rootkit Daemon Tools

  • 评论
  • 分享微博
  • 分享邮件

【赛迪网-IT技术报道】昨天无意中使用haiwei的rootkit检测工具NIAPSoft AntiRootkit Tools检查我的电脑,发现SSDT HOOK,对应的驱动文件名为sp??.sys(??字符为随机的两个字母,每次重启就变),使用冰刃检查SSDT HOOK明明看到这个驱动的路径在c:\windows\system\drviers下,而在c:\windows\system\drviers下却找不到该文件的任何影子,当然第一感觉是中了未知木马,试着用冰刃恢复SSDT,再找,仍然找不到。

立即重启系统,用WINPE引导,但WINPE下检查这个文件也没有任何结果。安装了很多东东,天知道这玩意儿从哪儿来的。

记得以前看过一个来源于微软知识库的文章,当系统被rootkit入侵时,你无法预料最终会有什么结果,因为rootkit程序,它可以做任何事,只要作者愿意。众所周知的sony数字版权软件植入rootkit事件,在欧美引起过轩然大波,Sony事件的曝光,源自于Sysinternals的牛人Mark Russinovich,他在2005年10月30日的Blog中,首次披露了Sony的数字版权软件包含Rootkit:Sony, Rootkits and Digital Rights Management Gone Too Far。这件事之后,大量木马开始使用rootkit技术,而rootkit技术已经成为商业软件的禁区:公众无论如何都无法接受自己的电脑中被商业公司植入后门。

在微软的知识库中提到,对付rootkit,最安全的办法是重置你的操作系统,也就是重装。因为rootkit程序入侵你的系统后,该程序很可能会欺骗系统,导致你所看到的结果都是假象。通常情况下,可以用winpe把这样的程序找到后删除,再删除与该程序相关的驱动、服务或其它加载项。但这次我被打败了,我决定重装。

当晚重装了系统,把自己常用的几个工具再装上,打好系统补丁。当晚忘了用rootkit检测工具检查,后来的事实证明,这个决定太英明了,不然昨晚还不知几点钟能睡着。

今天在公司再用haiwei的这个工具一查,立即崩溃中,那个该死的rootkit又出来了。

并且肯定隐藏在我昨天安装的那几个工具软件中。想想这东东总不会藏在几个大个的商业软件中,于是将昨天安装的那几个共享软件一一卸载,再查,没有任何改善:那个rootkit始终在我的电脑里。对于搞反病毒的我来说,rootkit程序在我的电脑里驻留是不可接受的。

于是决定把这几个共享软件在虚拟机中安装测试,装完就用haiwei的工具检查是不是多了不明不白的东西。在试验了10多个工具之后,终于在Daemon Tool lite版中找到它的踪迹。这可是我长期使用的一个虚拟光盘软件,我很难接受它变成流氓软件的现实。在我安装Daemon Tools时,也会避免安装它的搜索插件和其它功能。尝试卸载Daemon Tools,重启发现这个rootkit仍然存在。

发现卸载Daemon Tools后,注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驱动还在,将其属性修改为禁用,重启。再用冰刃和haiwei的工具检查,发现那个sp??.sys没有再加裁了,但是注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd键仍不可删除。万没想到这个深受爱戴的共享软件,已经彻底堕落为流氓,天知道Daemon tools要用rootkit来做什么。

申明,我所安装的Daemon Tools为官网下载,有该公司的数字签名。

文件名:daemon4120-lite.exe,版本号4.12.00

MD5值:df48777f9e9876f3abacbcd8652d3caa

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章