為什麼這篇DAEMON Tools鄉民發文收入到精華區:因為在DAEMON Tools這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者autoupdate (生烏龍茶)看板EZsoft標題[情報] Daemon Tools自甘墮落...
【編者按:現在Rootkit的被“利用率”越來越高了,這次是Demon Tools這款虛擬光碟機
軟體,它想做什麼呢?】
【賽迪網-IT技術報道】昨天無意中使用haiwei的rootkit檢測工具 NIAPSoft
AntiRootkit Tools檢查我的電腦,發現SSDT HOOK,對應的驅動文件名為sp??.sys(??字
符為隨機的兩個字母,每次重啟就變),使用冰刃檢查SSDT HOOK明明看到這個驅動的路
徑在c:\windows\system\drviers下,而在c:\windows\system\drviers下卻找不到該文件
的任何影子,當然第一感覺是中了未知木馬,試著用冰刃恢復SSDT,再找,仍然找不到。
立即重啟系統,用WINPE引導,但WINPE下檢查這個文件也沒有任何結果。安裝了很多東東
,天知道這玩意兒從哪兒來的。
記得以前看過一個來源於微軟知識庫的文章,當系統被rootkit入侵時,你無法預料最終
會有什麼結果,因為rootkit程式,它可以做任何事,只要作者願意。眾所週知的sony數
字版權軟體植入rootkit事件,在歐美引起過軒然大波,Sony事件的曝光,源自於
Sysinternals的牛人Mark Russinovich,他在2005年10月30日的Blog中,首次披露了Sony
的數字版權套裝軟體含Rootkit:Sony, Rootkits and Digital Rights Management
Gone Too Far。這件事之後,大量木馬開始使用rootkit技術,而rootkit技術已經成為商
業軟體的禁區:公眾無論如何都無法接受自己的電腦中被商業公司植入後門。
在微軟的知識庫中提到,對付rootkit,最安全的辦法是重置你的作業系統,也就是重裝
。因為rootkit程式入侵你的系統後,該程式很可能會欺騙系統,導致你所看到的結果都
是假像。通常情況下,可以用winpe把這樣的程式找到後刪除,再刪除與該程式相關的驅
動、服務或其他載入項。但這次我被打敗了,我決定重裝。
當晚重裝了系統,把自己常用的幾個工具再裝上,打好系統補丁。當晚忘了用rootkit檢
測工具檢查,後來的事實證明,這個決定太英明瞭,不然昨晚還不知幾點鐘能睡著。
今天在公司再用haiwei的這個工具一查,立即崩潰中,那個該死的rootkit又出來了。
並且肯定隱藏在我昨天安裝的那幾個工具軟體中。想想這東東總不會藏在幾個大個的商業
軟體中,於是將昨天安裝的那幾個共用軟體一一卸載,再查,沒有任何改善:那個
rootkit始終在我的電腦裏。對於搞反病毒的我來說,rootkit程式在我的電腦裏駐留是不
可接受的。
於是決定把這幾個共用軟體在虛擬機中安裝測試,裝完就用haiwei的工具檢查是不是多了
不明不白的東西。在試驗了10多個工具之後,終於在Daemon Tool lite版中找到它的蹤跡
。這可是我長期使用的一個虛擬光碟軟體,我很難接受它變成流氓軟體的現實。在我安裝
Daemon Tools時,也會避免安裝它的搜索插件和其他功能。嘗試卸載Daemon Tools,重啟
發現這個rootkit仍然存在。
發現卸載Daemon Tools後,註冊表中
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驅動還在,將其屬性修
改為禁用,重啟。再用冰刃和haiwei的工具檢查,發現那個sp??.sys沒有再加裁了,但是
註冊表的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd鍵仍不可刪除
。萬沒想到這個深受愛戴的共用軟體,已經徹底墮落為流氓,天知道Daemon tools要用
rootkit來做什麼。
來源:http://0rz.tw/0e3Pc
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.124.32.196
推 yukitowu:這消息可真歡樂... 03/26 21:53
推 WFXX:我要安裝最新lite版時洨紅傘一直叫,不知道是不是這個原因 03/26 21:55
→ autoupdate:怎樣歡樂!? 03/26 21:56
推 mantohu:tsk... 03/26 21:58
推 dklink:我比較好奇NIAPSoft AntiRootkit Tools這套軟體XD 03/26 22:00
→ ckjjc:sptd要用他自己的安裝程式來移除吧,daemon不會幫你移除 03/26 22:24
推 watertip:請問,舊的版本會比較安全嗎? 03/26 22:36
推 keithking:登能… 03/26 22:50
→ way7344:除了騙破解,實在不喜歡它,能不用就不用...一直覺得不人性 03/26 22:53
推 mstar:刪除 sptd 之後,還能用虛擬光碟功能嗎? 03/26 23:13
推 Xconqueror:這消息是真的嗎?? ="= 03/26 23:29
推 sdbb:酒精也會裝sptd,但我沒看到我的機器在ssdt有sptd 03/26 23:27
→ sdbb:有rootkit是真的,也不一定是壞事 03/26 23:30
→ sdbb:問題是這個rootkit想做什麼,怎麼會出現 03/26 23:31
→ mantohu:我覺得Daemon簡單易用..不人性..@@? 03/27 00:21
推 jawelhsu:DAEMON很好用啊,不過又不用付費,我也很好奇怎麼獲利 03/27 01:03
→ hwakeye:DT現在有收費版本 免費版附帶的那些工具也是獲利來源之一 03/27 03:18
→ h5bfb3vr:官網的人說沒有rootkit 03/27 04:24
推 zop:也就是說官網的人在睜眼說瞎話,不然就是被入侵了還不知道 03/27 10:27
推 KENyroj:他用的 daemon tools 是哪一版... ?? 03/27 11:12
推 junorn:sptd?那個不是做硬體底層控制用的驅動嗎? 03/27 11:16
→ junorn:只要是控制到底層的東西基本上都有可能被惡用,這正常的 03/27 11:17
→ junorn:而要用些破解的東西也是只能靠底層控制去破..這沒辦法 03/27 11:18
推 tonyhsie:那應該是虛擬光碟必要的驅動吧...Alcohol也會裝... 03/27 12:13
→ tonyhsie:而且表面上看起來SPTD跟DT是不同公司的產品 03/27 12:13
→ way7344:我我我...不會大絕啦!~XD 03/27 14:42
推 onelife:這新聞...有代表什麼嗎?.... = =a 03/27 15:39
※ 編輯: autoupdate 來自: 122.124.32.196 (03/28 16:30)推 GodJob:有rootkit又不承認 感覺很恐怖 還是先不要用好了 @@... 04/03 03:50