Daemon Tools虚惊一场~~~

今天看到铁军的空间上有一个关于虚拟光驱软件的rootkit猜想,虽然给出的证据很充分,但是还是有些怀疑,所以做了一些测试,发现,其实并不难解决所谓的那个rootkit,而且也揭示了某些国外领先的概念。

首先全文转载铁军的原文

转自:铁军的杀毒圈子

http://hi.baidu.com/litiejun/blog/item/bed0f1a263bceea9cbefd0d0.html

昨天无意中使用haiwei的rootkit检测工具NIAPSoft AntiRootkit Tools检查我的电脑,发现SSDT HOOK,对应的驱动文件名为sp??.sys(??字符为随机的两个字母,每次重启就变),使用冰刃检查SSDT HOOK明明看到这个驱动的路径在c:\windows\system\drviers下,而在c:\windows\system\drviers下却找不到该文件的任何影子,当然第一感觉是中了未知木马,试着用冰刃恢复SSDT,再找,仍然找不到。

立即重启系统,用WINPE引导,但WINPE下检查这个文件也没有任何结果。安装了很多东东,天知道这玩意儿从哪儿来的。

记得以前看过一个来源于微软知识库的文章,当系统被rootkit入侵时,你无法预料最终会有什么结果,因为rootkit程序,它可以做任何事,只要作者愿意。众所周知的sony数字版权软件植入rootkit事件,在欧美引起过轩然大波,Sony事件的曝光,源自于Sysinternals的牛人Mark Russinovich,他在2005年10月30日的Blog中,首次披露了Sony的数字版权软件包含Rootkit:Sony, Rootkits and Digital Rights Management Gone Too Far。这件事之后,大量木马开始使用rootkit技术,而rootkit技术已经成为商业软件的禁区:公众无论如何都无法接受自己的电脑中被商业公司植入后门。

在微软的知识库中提到,对付rootkit,最安全的办法是重置你的操作系统,也就是重装。因为rootkit程序入侵你的系统后,该程序很可能会欺骗系统,导致你所看到的结果都是假象。通常情况下,可以用winpe把这样的程序找到后删除,再删除与该程序相关的驱动、服务或其它加载项。但这次我被打败了,我决定重装。

当晚重装了系统,把自己常用的几个工具再装上,打好系统补丁。当晚忘了用rootkit检测工具检查,后来的事实证明,这个决定太英明了,不然昨晚还不知几点钟能睡着。

今天在公司再用haiwei的这个工具一查,立即崩溃中,那个该死的rootkit又出来了。

并且肯定隐藏在我昨天安装的那几个工具软件中。想想这东东总不会藏在几个大个的商业软件中,于是将昨天安装的那几个共享软件一一卸载,再查,没有任何改善:那个rootkit始终在我的电脑里。对于搞反病毒的我来说,rootkit程序在我的电脑里驻留是不可接受的。

于是决定把这几个共享软件在虚拟机中安装测试,装完就用haiwei的工具检查是不是多了不明不白的东西。在试验了10多个工具之后,终于在Daemon Tool lite版中找到它的踪迹。这可是我长期使用的一个虚拟光盘软件,我很难接受它变成流氓软件的现实。在我安装Daemon Tools时,也会避免安装它的搜索插件和其它功能。尝试卸载Daemon Tools,重启发现这个rootkit仍然存在。

发现卸载Daemon Tools后,注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驱动还在,将其属性修改为禁用,重启。再用冰刃和haiwei的工具检查,发现那个sp??.sys没有再加裁了,但是注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd键仍不可删除。万没想到这个深受爱戴的共享软件,已经彻底堕落为流氓,天知道Daemon tools要用rootkit来做什么。

申明,我所安装的Daemon Tools为官网下载,有该公司的数字签名。

文件名:daemon4120-lite.exe,版本号4.12.00

MD5值:df48777f9e9876f3abacbcd8652d3caa

好了转载完毕,开始我的内容。

我采用的是反证法,假设那个东西是rootkit,且带有威胁性质,那么应该是和程序分离的,或者说单独执行它要做的事情。如果不是,那么那个sp??.sys就是其他用途。

证明开始,首先先卸载sp??.sys,我并没有卸载Daemon Tools这个软件,过一会有用。

第一步,打开资源管理器,定位到%windir%\system32\drivers\sptd.sys

第二步,直接删除sptd.sys,并且新建一个sptd.sys的文件夹

第三步,用任何一款可以反hook的工具,清除所有和sptd.sys有关的hook

第四步,我的电脑,鼠标右键,属性,硬件–>设备管理器–>察看–>显示隐藏的设备–>非即插即用驱动程序–>sptd.sys–>右键–>卸载–>是–>重新启动计算机

第五步,打开icesword,删除注册表的相关数值,就是这个HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

第六步,重新启动–>完成卸载

卸载后的效果

证明开始

运行Daemon Tools,结果出来这个东西

这个程序需要sptd 1.37或者更高版本的支持

很明显,这是个驱动类的东西。

如果这样下定论,太过草率

接下来取消%windir%\system32\drivers\spdt.sys这个目录

从新安装Daemon Tools

然后跟踪Daemon Tools主程序

结果没有发现有新建或者修复spdt.sys的动作出现。

那么,为什么spdt.sys要这样做呢?

我的猜测是,有可能这是这个软件的模拟思路。采用类似于rootkit的方式欺骗系统,到时候指鹿为马,说一个文件是光驱不就很简单了么。

如果这个猜测正确的话,那么只能说是虚惊一场。况且,这个软件也至今没有爆出什么由于spdt.sys而导致的安全类问题。

如果有什么新的进展研究,欢迎讨论。

Related posts

发表评论