磁盘过滤驱动vc

① 什么叫驱动层的加密加密原理是什么加密性能好吗

目前驱动层加密根据其加密文件或者磁盘可以有两个解释:一个是专缓存管理器页入，此种是属文件系统过滤驱动的范畴;另一个理解是磁盘上的扇区操作，这是磁盘过滤驱动;
这种技术相对于应用层加密技术有不产生临时文件，效率更高的特点;
该引擎包括三个主要模块:

文件过滤驱动器，加密算法库内核层，加密算法库应用层。
文件过滤驱动器功能:1、文件后缀过滤
2、进程名过滤
3、进程ID过滤
4、应用程序特征值过滤
对文件操作行为控制:
1、读
2、覆盖写
3、创建
4、删除
5、改名

② 为什么我的电脑在玩游戏时总是出现 “无法定位程序输入点于动态联结库上”

LdrsetSessionName于动态链接库mfc40u.dll上"的方法
文章类型：系统修复、病毒查杀

说明：
系统无法正常登陆，在启动时系统程序“lsass.exe”会弹出错误提示：“无法定位程序输入点 LdrsetSessionName 于动态链接库 mfc40u.dll 上。”或“没有找到 mfc40u.dll 组件，重新安装应用程序可能会修复此问题。”等信息的修复方法。
------------------------------------------------------------------------

------------------------------------------------------------------------
介绍：
系统程序“lsass.exe”弹出错误“无法定位程序输入点 LdrsetSessionName 于动态链接库 mfc40u.dll 上。”这个提示是由于系统被病毒破坏而产生的。是系统程序“lsass.exe”进程启动时弹出来的错误提示信息，真正的系统程序“lsass.exe” 进程中是不会有这种提示信息的。之所以会弹出该提示，是因为病毒修改了系统“lsass.exe”程序的输入表(在输入表的尾部多加了一条调用信息 “LdrsetSessionName”、“mfc40u.dll”)，同时病毒又使用自身释放出来的恶意DLL组件覆盖了系统本身的DLL组件 “mfc40u.dll”(系统内原本就有这个DLL组件的)。当杀毒软件或安全软件发现了被病毒程序破坏的系统DLL组件“mfc40u.dll”(系统原DLL组件的功能是MFC的部分函数库，被病毒覆盖后的DLL组件的功能是木马下载器)后，就给强行删除掉了，但没有去修复系统程序 “lsass.exe”文件的输入表，也没有还原被病毒破坏的系统DLL组件“mfc40u.dll”文件，所以出现了上边的错误提示信息。
病毒是利用磁盘过滤驱动去读写真实磁盘中的数据，然后去破坏系统“lsass.exe”和“mfc40u.dll”文件的。所以，不管系统 “lsass.exe”和“mfc40u.dll”程序有没有在运行，都会被病毒破坏掉。该病毒使用了类似于“古老的机器狗病毒穿系统还原的设计原理”，并没有去破坏您系统的注册表中的数据信息。所以在网络上见很多人提出使用“重新注册系统‘mfc40u.dll’DLL组件的方法是不对的”，可能会对系统造成更大的破坏。要对症下药，不然很可能会越医越病！！

③ VC是读写硬盘的引导区

VC是否可以读写硬盘的引导区（破还原精灵方法求解）？

BOOL CDirectAccessHDDlg::ReadSectors(BYTE bDrive, DWORD dwStartSector, WORD wSectors, LPBYTE lpSectBuff)
// 对磁盘扇区数据的读取
{
if (bDrive == 0) return 0;
char devName[] = "\\\\.\\A:";
devName[4] ='A' + bDrive - 1;
HANDLE hDev = CreateFile(devName, GENERIC_READ, FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL);
if (hDev == INVALID_HANDLE_VALUE) return 0;
SetFilePointer(hDev, 512 * dwStartSector, 0, FILE_BEGIN);
DWORD dwCB;
BOOL bRet = ReadFile(hDev, lpSectBuff, 512 * wSectors, &dwCB, NULL);
CloseHandle(hDev);
return bRet;
}
不过估计对付不了某些还原软件，这些软件一般是带有磁盘过滤驱动的，像这些通过驱动操作磁盘的
方法往往都会被知道，可以利用DDK做个IO驱动，然后通过IO驱动直接操作IDE设备的IO使用ATAPI协议来完成操作；这样就
不容易被拦截，当然IO也是有办法拦截的，那我就不 知道怎么办了！

④ 数据防泄露的技术变革

透明加密技术是近年来针对企业数据保密需求应运而生的一种数据加密技术。所谓透明，是指对使用者来说是透明的，感觉不到加密存在，当使用者在打开或编辑指定文件时，系统将自动对加密的数据进行解密，让使用者看到的是明文。保存数据的时候，系统自动对数据进行加密，保存的是密文。而没有权限的人，无法读取保密数据，从而达到数据保密的效果。

自WindowsNT问世以来，微软提出的分层的概念，使透明加密有了实现的可能。自上而下，

应用软件，应用层APIhook(俗称钩子), 文件过滤驱动，卷过滤驱动，磁盘过滤驱动，另外还有网络过滤驱动，各种设备过滤驱动。其中应用软件和应用层apihook在应用层(R3), 从文件过滤驱动开始，属于内核层(R0).

数据透明加密技术，目前为止，发展了3代，分别为

第一代APIHOOK应用层透明加密技术；

第二代文件过滤驱动层（内核）加密技术；

第三代内核级纵深加密技术 ；

第一代：APIHOOK应用层透明加密技术

应用层透明加密技术俗称钩子透明加密技术。这种技术起源于win98时代，后来随着windows2000而流行起来。就是将上述两种技术（应用层API和Hook）组合而成的。通过windows的钩子技术，监控应用程序对文件的打开和保存，当打开文件时，先将密文转换后再让程序读入内存，保证程序读到的是明文，而在保存时，又将内存中的明文加密后再写入到磁盘中。应用层APIHOOK加密技术，特点是实现简单，缺点是可靠性差，速度超级慢，因为需要临时文件，也容易破解。但由于直接对文件加密直观感觉非常好，对于当初空白的市场来讲，这一旗号确实打动了不少企业。

第二代：文件过滤驱动加密技术

驱动加密技术是基于windows的文件系统（过滤）驱动技术，起源于WindowsNT发布之后，其工作在windows的内核层，处于应用层APIHook的下面，卷过滤和磁盘过滤的上面。设计思想是建立当应用程序(进程)和文件格式(后缀名)进行关联，当用户操作某种后缀文件时对该文件进行加密解密操作，从而达到加密的效果。

内核层文件过滤驱动技术，分IFS和Minifilter2类。IFS出现较早，Minfilter出现在xp以后。两者的区别可以理解为VC++和MFC的区别，IFS很多事情需要自己处理，而Minifilter是微软提供了很多成熟库，直接用。由于windows文件保存的时候，存在缓存，并不是立即写入文件，所以根据是否处理了双缓bug，后来做了些细分，但本质还是一样，都是问题的修正版本而已。但由于工作在受windows保护的内核层，运行速度比APIHOOK加密速度快，解决了很多问题和风险。

文件过滤驱动技术实现相对简单，但稳定性一直不太理想。

第三代：内核级纵深沙盒加密技术

之所以叫内核级纵深沙盒加密技术，主要原因是使用了磁盘过滤驱动技术，卷过滤驱动技术，文件过滤驱动技术，网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术，从上到下，纵深防御加密。该技术也起源于WindowsNT之后，但由于技术复杂，开发要求高，公开资料少，而发展较慢。但随着微软公布了部分Windows源代码之后，此技术开始逐渐成熟。内核级沙盒加密，是当使用者操作涉密数据的时候，对其存储过程进行控制，对其结果进行加密保存，每个模块只做自己最擅长的那块，所以非常稳定。加密的沙盒是个容器，把涉密软件，文件扔到容器中加密。而这个容器是透明的，使用者感觉不到它的存在。，

第三代透明加密技术的特点是，涉密数据使用前，先初始化涉密沙盒，沙盒加密一旦成功，之后所有的数据都是数据实体，不针对文件个体，所以无数据破损等问题。特点是速度快，稳定。

第一代，第二代本质都是采用的针对单个文件实体进行加密，如a.txt内容为1234, 加密后变成@#$%% +标记。@#$%%是把原文1234进行加密之后的密文。而标记的用途是用来区分一个a.txt文件是否是已经被加密。当系统遇到一个文件的时候，首先判断这个标记是否存在，如果存在，表明是被系统加密过的，则走解密读取流程，如果不是加密的，就无需解密，直接显示给使用者，只是当保存的时候，再进行加密，使其成文密文+标记。

这就带来一个巨大的风险 ：如果是一个较大文件，加密过程中发生异常，标记没加上，那么下次读这个文件的时候，因为没有读到表记，而采用原文读取，然后再加密，那么这个文件就彻底毁坏了。这个现象在第一代APIHOOK透明加密技术的产品中特别明显，在第二代文件过滤驱动产品中，因为速度变快了，使文件破损发生概率减低了很多，但并没有本质解决这个问题。

另外， 由于是进程和文件后缀名进行关联，也造成了一个缺陷 ：很多编程类软件，复杂制图软件的编译，晒图等操作，都是很多进程同时操作某个文件，这个时候进行进程和文件关联显然太牵强了，因为进程太多了。即使进行关联，多个进程交替访问文件，加密解密混在一起，极容易造成异常。所以才会出现VC等环境下如不能编译，调试等。

其他方面，版本管理无法对比，服务器上存放的是密文（服务器存密文，是个极大的风险，目前没有哪家大企业敢这么做，毕竟太依赖加密软件，持续性没有了），大文件速度慢等，一系列问题，无法解决。

而第三代内核纵深加密技术是在前者2个基础之上发展而来的，每个过滤层都只做自己最擅长的事情，所以特别稳定，速度快，性能可靠，不存在第一代和第二代的问题。由于内核级纵深透明加密技术要求高，涉及技术领域广，极其复杂，开发周期长，所以国内的能做开发的厂商不多。目前， 深信达公司推出的SDC机密数据保密系统， 给人一眼前一亮的感觉，其产品是第三代透明加密保密技术的典型产品，其产品主要特点是：

1）采用了磁盘过滤，卷过滤，文件过滤，网络过滤等一系列纵深内核加密技术，采用沙盒加密，和文件类型和软件无关，沙盒是个容器。

2）在操作涉密数据的同时，不影响上外网，QQ,MSN等。

3）保密彻底，包括网络上传，邮件发送，另存，复制粘贴，屏幕截取等，特别是屏幕保密，做得非常炫。

4）服务上存放的是明文，客户端存放的是密文，文件上传服务器自动解密，到达客户端自动加密。服务器上明文，减少了业务连续性对加密软件的依赖。

5）不但可以针对普通文档图纸数据进行保密需求，同时更是研发性质的软件公司( 游戏 ，通讯，嵌入式，各种BS/CS应用系统)源代码保密首选。

⑤ 高手请进——什么是机器狗病毒呀

机器狗的生前身后，曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。
工作原理
机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。
重点是，一个病毒，如果以hook方式入侵系统，接替硬盘驱动的方式效率太低了，而且毁坏还原的方式这也不是最好的，还有就是这种技术应用范围非常小，只有还原技术厂商范围内有传播，在这方面国际上也只有中国在用，所以，很可能就是行业内杠。
对于网吧而言，机器狗就是剑指网吧而来，针对所有的还原产品设计，可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现，发稿之日起，各大杀毒软件都以能查杀。
免疫补丁之争
现在的免疫补丁之数是疫苗形式，以无害的样本复制到drivers下，欺骗病毒以为本身已运行，起到阻止危害的目的。这种形式的问题是，有些用户为了自身安全会在机器上运行一些查毒程序（比如QQ医生之类）。这样疫苗就会被误认为是病毒，又要废很多口舌。
解决之道
最新的解决方案是将system32/drivers目录单独分配给一个用户，而不赋予administror修改的权限。虽然这样能解决，但以后安装驱动就是一件头疼的事了。
来彻底清除该病毒，处理后重启一下电脑就可以了，之前要打上补丁！
或者这样：
1注册表，组策略中禁止运行userinit.exe 进程
2 在启动项目中加入批处理
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe （其中“/IM”参数后面为进程的图像名，这命令只对XP用户有效）
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe
C : 创建userinit.exe免疫文件到%SystemRoot%\system32\
命令：md %SystemRoot%\system32\userinit.exe >nul 2>nul
或者 md %SystemRoot%\system32\userinit.exe
attrib +s +r +h +a %SystemRoot%\system32\userinit.exe
D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字，多加了一个1，你也可以自己修改，不过要手动修改这4个注册表，并导出，这个批处理才能正常使用。
最新动向
好像机器狗的开发以停止了，从样本放出到现在也没有新的版本被发现，这到让我们非常担心，因为虽着研究的深入，现在防御的手段都是针对病毒工作原理的，一但机器狗开始更新，稍加改变工作原理就能大面积逃脱普遍的防御手段，看来机器狗的爆发只是在等待，而不是大家可以高枕了。
目前网上流传一种叫做机器狗的病毒，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。
>> 那么如何识别是否已中毒呢？
是否中了机器狗的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常。
临时解决办法：
一是在路由上封IP：
ROS脚本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com action=reject
二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，
三是把他要修改的文件在做母盘的时候，就加壳并替换。
在%systemroot%\system32\drivers\目录下建立一个名为“pcihdd.sys ”的文件夹，设置属性为“任何人禁止”
批处理
1、md %systemroot%\system32\drivers\pcihdd.sys
2、cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
3、cacls %systemroot%\system32\userinit.exe /e /p everyone:r
4、exit
目前，网络流行以下解决方法，或者可以在紧急情况下救急：
1、首先在系统system32下复制个无毒的userinit.exe，文件名为 FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的 userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：
start FUCKIGM.exe (呵呵，够简单吧？)
3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.bat,"
就这3步，让这条狗再也凶不起来！这是在windows 2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它！开关机游戏均无异常！但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框！
如果嫌麻烦，也不要紧。上面三条批处理网友已搞好了，直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%\system32
/y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
:::删掉自身（提倡环保）
del /f /q %0
当然，如果实在不行，下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...\
可防止最新变种。请注意：此法只能是防止，对于杀机器狗还得靠最新的杀毒程序才行。
针对该病毒，反病毒专家建议广大用户及时升级杀毒软件病毒库，补齐系统漏洞，上网时确保打开“ 网页监控”、“邮件监控”功能；禁用系统的自动播放功能，防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机；登录网游账号、网络银行账户时采用软键盘输入账号及密码
[编辑本段]
“机器狗”新、老版本病毒特征
1：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。
2：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。
3：新版本“机器狗”病毒驱动文件很小(1,536 字节)，老版本“机器狗”病毒驱动文件很大(6,768 字节)。
4：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。
5：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。
6：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程序”系统会将其还原掉)。
7：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。
8：新版本“机器狗”病毒采用的是控制台程序图标，老版本“机器狗”病毒采用的是黑色机器小狗图案的图标。
大概列举出来了上边的几点，经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。
[编辑本段]
错误纠正
在此要纠正两个技术性的问题，网络上流传的一些关于分析“机器狗”病毒(新、老版本)的部分文章中，有两处表达错误的地方。
第一处是：在那些分析文章中所提到“‘机器狗’病毒会破坏‘还原保护程序’系统，使其还原功能失效”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并没有破坏‘ 还原保护程序’系统，也没有使其还原功能失效。只是安装了一个病毒自己的磁盘过滤驱动去操作真实的磁盘I/O端口，向真实的磁盘中执行修改覆盖 “C:\windows\explorer.exe”目标文件(文件名是病毒作者定义的，不固定、会变。但肯定的是，真实磁盘中是存在该文件的。并且病毒运行后，一般只会修改覆盖一个真实磁盘中的系统文件，再不会去破坏其它真实磁盘中的文件)操作。虽然‘机器狗’病毒运行后下载了很多其它恶意程序并安装运行，但重新启动计算机后，这些都会被‘还原保护程序’系统还原掉的，只是唯一那个被修改覆盖的真实磁盘文件没有被还原。如果发现重新启动计算机后，系统中依然有一大堆病毒在运行。其实，这些都是系统重新启动后，由那个被修改覆盖后的系统程序全部重新下载回来并安装运行的恶意程序。也就是说，每次重新启动计算机，都要重新下载安装一次所有的其它恶意程序”。
第二处是：在那些分析文章中所提到“‘机器狗’病毒会替换系统中的正常程序 ‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”或“‘机器狗’病毒会感染系统中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并不是替换了系统中的那些正常文件，而是针对那些正常文件在硬盘中所存放的真实物理地址进行以覆盖的方式去写入相应的恶意数据。大家可以找来正常的系统文件‘explorer.exe’、被病毒修改覆盖后的系统文件‘explorer.exe’和病毒释放出来的恶意程序‘tmp281.tmp’。对比它们内部数据代码后会发现，被病毒修改后的系统文件‘explorer.exe’的前部分数据代码和”病毒释放出来的恶意程序‘tmp281.tmp’文件的数据代码是完全相同的，而后边的数据代码依然是正常系统文件‘explorer.exe’后边的数据代码。”。
简单的概念解释：
替换：把原目标程序的数据代码全部清除掉，用新程序的数据代码来代替以前的整个程序。这样，替换后的程序只有新程序的功能。
感染：在不破坏原目标程序数据代码的前提下，向原目标程序的数据代码中追加上新程序的数据代码。这样，感染后的程序既有原目标程序的功能，又有新程序的功能。
覆盖：从原目标程序数据代码的文件头0地址处开始，向后依次执行覆盖写入新程序的数据代码操作，我们这里只假设原目标程序文件远远大于新程序。这样，覆盖后的程序只执行新程序的功能，虽然原目标程序的数据代码还存在一部分，但由于没有被调用，所以不会执行。
[编辑本段]
总结
上边所指的“还原保护程序”为利用磁盘过滤驱动技术编写而成的系统还原保护程序，出名一点的软件有“冰点还原精灵”和“影子系统” 等。也就是说，就算用户计算机安装了上边这样的“还原保护程序”，只要是中了“机器狗”一类利用穿“还原保护程序”技术的病毒，就算您重新启动计算机了，但被修改的那个文件“explorer.exe”也是依然不会被还原的，因为病毒的恶意代码已经覆盖进了这个真实的磁盘文件中。
目前的“机器狗”一类利用穿“还原保护程序”技术的病毒有一个致命的软肋，那就是他们所覆盖的真实系统文件在重新启动计算机后一定要自启动运行，不然就失去病毒存在的意义了。现今的“机器狗”病毒都只是能够穿透磁盘保护的，并穿透不了注册表(无法在注册表中保存添加或修改后的数据信息)，这个就是它最大的缺陷。其实，注册表数据信息也是以文件的形式保存在磁盘中的，下一代“机器狗”病毒可能会实现穿透注册表的功能，等那个时候，可能就很难防范了。这还是不算什么的，下下一代的“机器狗”病毒可能会利用自己的磁盘过滤驱动去感染真实硬盘下的PE文件，相当的恐怖啊！！
一旦感染了该版本的“机器狗”病毒，它不仅仅可以穿透“还原保护程序”，真实系统也一样会中毒。因为病毒修改覆盖了真实的系统文件“C:\windows\explorer.exe”。所以每次重新启动计算机后，被修改覆盖的系统程序“C: \windows\explorer.exe”它都会在被感染计算机的后台连接网络下载骇客事先定义好的下载列表中的全部恶意程序并自动调用运行。那么如果中该病毒的用户比较多，几万台计算机同时启动，骇客的下载服务器会挂掉吗？呵呵~！！
[编辑本段]
“机器狗”问题及回答
问题1：这个最新的机器狗变种，是否与你12月19日发的病毒播报中的机器狗变种是同一个病毒？
回答：不是同一个病毒，只是工作原理十分的相似而已。经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。
问题2：这个最新的机器狗变种是否功能更强大？强大在那儿？与以往机器狗病毒的不同之处在哪？
回答：应该是相对的强大了些。对比“机器狗”一类新、老版本病毒的部分特征如下：
问题3：机器狗病毒对网吧的影响很大，对个人用户的影响有多少？
回答：个人用户的影响与网吧的影响是同样大的。因为不管计算机系统是否安装“还原保护系统”程序，都会同样下载非常多的(目前是下载27个恶意程序)网络游戏盗号木马等恶意程序进行安装运行，从而给被感染计算机用户带去一定的损失。如果“用户计算机硬件配置比较低”或者“存在所下载的多个恶意程序中出现相互不兼容现象”的话，会导致用户计算机系统崩溃掉无法启动运行。
[编辑本段]
杀毒方法
·手动杀毒方法

1：结束掉被病毒修改覆盖后的“C:\windows\explorer.exe”程序进程，删除该程序文件。
2：也许系统会自动还原回来一个正常的“explorer.exe”桌面程序，如果没有还原的话，我们可以手动把“C:\windows\system32\dllcache\”下的“explorer.exe”文件拷贝到“C:\windows\”下。
3：手动卸载掉病毒恶意驱动程序“phy.sys”文件。可以在注册表中找到病毒恶意驱动程序 “phy.sys”的启动关联位置然后删除，接着再删除掉“C:\windows\system32\DRIVERS\phy.sys”文件。我实际试过N次这种方法，针对该病毒决定好使。
4：重新启动计算机后，一切就都会变为正常了。但是该新版的“机器狗”病毒会下载27个(不固定)恶意程序到被感染计算机中安装运行，这些病毒可以安装江民公司的KV2008去查杀，效果很不错。
· 超级巡警之机器狗病毒专杀v1.3：
本工具可检测并查杀机器狗病毒，可穿透机器狗所能穿透的还原系统来修复被感染的文件。本工具还具有免疫的功能，针对已知机器狗变种进行免疫，防止再次感染。另外，可使用命令行方式进行杀毒，便于自动化操作，建议网吧等场所设置为开机自动杀毒，减少重复作业。
下载地址：
http://download.pchome.net/utility/antivirus/trojan/detail-81071.html
http://update4.dswlab.com/RodogKiller1.3.zip
· 360安全卫士：
目前检测查杀机器狗病毒最有效的工具,机器狗本身下载的都是木马和后门攻击，360安全卫士毫无疑问是最好的查杀木马防御木马的最好软件。
下载地址：
http://www.360.cn

⑥ 寒江独钓：Windows内核安全编程的图书目录

第1章 内核上机指导 1
Windows内核编程的动手有点麻烦，并不是仅仅安装一个独立的软件（比如VC）之后就可以安然地开始编写代码，然后运行了。需要下载开发包、配置开发环境、准备调试工具，可能还需要一些小工具协同工作。这一步拦住了不少的初学者。本章以详细图文攻略，来引导读者完成这一麻烦的步骤。
1.1 下载和使用WDK 2
1.1.1 下载安装WDK 2
1.1.2 编写第一个C文件 3
1.1.3 编译一个工程 5
1.2 安装与运行 6
1.2.1 下载一个安装工具 6
1.2.2 运行与查看输出信息 7
1.2.3 在虚拟机中运行 9
1.3 调试内核模块 9
1.3.1 下载和安装WinDbg 9
1.3.2 设置Windows XP调试执行 10
1.3.3 设置Vista调试执行 11
1.3.4 设置VMWare的管道虚拟串口 11
1.3.5 设置Windows内核符号表 13
1.3.6 实战调试first 14
练习题 16
第2章 内核编程环境及其特殊性 17
编写过驱动程序的读者可能会很熟悉这一切，但是对只从事过应用程序的读者而言，要理解内核编程环境的特殊性，就很需要一些功夫和悟性了。在应用程序中，多线程的情况已经带来了一定理解的困难；而内核代码呢？几乎无时无刻不运行在多线程之下。它从哪里开始？从哪里结束？它在什么进程内运行？这些问题一言难尽。
2.1 内核编程的环境 18
2.1.1 隔离的应用程序 18
2.1.2 共享的内核空间 19
2.1.3 无处不在的内核模块 20
2.2 数据类型 21
2.2.1 基本数据类型 21
2.2.2 返回状态 22
2.2.3 字符串 23
2.3 重要的数据结构 23
2.3.1 驱动对象 23
2.3.2 设备对象 25
2.3.3 请求 26
2.4 函数调用 28
2.4.1 查阅帮助 28
2.4.2 帮助中有的几类函数 30
2.4.3 帮助中没有的函数 32
2.5 Windows的驱动开发模型 32
2.6 WDK编程中的特殊点 33
2.6.1 内核编程的主要调用源 33
2.6.2 函数的多线程安全性 34
2.6.3 代码的中断级 36
2.6.4 WDK中出现的特殊代码 37
练习题 38
第3章 串口的过滤 40
在安全软件的开发中，串口驱动的应用并不常见。但是本书以串口驱动作为第一个介绍的实例。为何？仅仅是因为串口简单。从简单的例子入手，可以为读者带来稍许轻松的感受。
3.1 过滤的概念 41
3.1.1 设备绑定的内核API之一 41
3.1.2 设备绑定的内核API之二 43
3.1.3 生成过滤设备并绑定 43
3.1.4 从名字获得设备对象 45
3.1.5 绑定所有串口 46
3.2 获得实际数据 47
3.2.1 请求的区分 47
3.2.2 请求的结局 48
3.2.3 写请求的数据 49
3.3 完整的代码 50
3.3.1 完整的分发函数 50
3.3.2 如何动态卸载 52
3.3.3 完整的代码 53
本章的示例代码 53
练习题 54
第4章 键盘的过滤 56
键盘是很重要的输入设备！这是因为我们用键盘录入信息、用键盘输入密码，甚至用键盘编程，也用键盘著书立说。对于黑客来说，使用庞大的计算机资源去破解那些坚不可摧的加密算法，哪如偷偷地记下用户用键盘输入的密钥更加简单呢？本章专注于键盘的保护。
4.1 技术原理 57
4.1.1 预备知识 57
4.1.2 Windows中从击键到内核 58
4.1.3 键盘硬件原理 60
4.2 键盘过滤的框架 61
4.2.1 找到所有的键盘设备 61
4.2.2 应用设备扩展 64
4.2.3 键盘过滤模块的DriverEntry 65
4.2.4 键盘过滤模块的动态卸载 66
4.3 键盘过滤的请求处理 68
4.3.1 通常的处理 68
4.3.2 PNP的处理 69
4.3.3 读的处理 70
4.3.4 读完成的处理 71
4.4 从请求中打印出按键信息 72
4.4.1 从缓冲区中获得KEYBOARD_INPUT_DATA 72
4.4.2 从KEYBOARD_INPUT_DATA中得到键 73
4.4.3 从MakeCode到实际字符 74
4.5 Hook分发函数 75
4.5.1 获得类驱动对象 76
4.5.2 修改类驱动的分发函数指针 77
4.5.3 类驱动之下的端口驱动 78
4.5.4 端口驱动和类驱动之间的协作机制 79
4.5.5 找到关键的回调函数的条件 80
4.5.6 定义常数和数据结构 80
4.5.7 打开两种键盘端口驱动寻找设备 81
4.5.8 搜索在KbdClass类驱动中的地址 83
4.6 Hook键盘中断反过滤 86
4.6.1 中断：IRQ和INT 86
4.6.2 如何修改IDT 87
4.6.3 替换IDT中的跳转地址 88
4.6.4 QQ的PS/2反过滤措施 90
4.7 利用IOAPIC重定位中断处理函数 90
4.7.1 什么是IOAPIC 90
4.7.2 如何访问IOAPIC 91
4.7.3 编程修改IOAPIC重定位表 92
4.7.4 插入新的中断处理 93
4.7.5 驱动入口和卸载的实现 95
4.8 直接用端口操作键盘 96
4.8.1 读取键盘数据和命令端口 96
4.8.2 p2cUserFilter的最终实现 97
本章的示例代码 98
练习题 99
第5章 磁盘的虚拟 100
CPU是计算机的核心，但是它不保存信息。如果它被窃，我们可以简单地购买一个新的。但是如果装满了机密信息的硬盘被窃了，那可就不是买一个新的就能弥补得了的。本章介绍硬盘内核魔术：虚拟硬盘。虚拟硬盘可以不被盗窃者利用吗？良好的设计可以做到这一点。
5.1 虚拟的磁盘 101
5.2 一个具体的例子 101
5.3 入口函数 102
5.3.1 入口函数的定义 102
5.3.2 Ramdisk驱动的入口函数 103
5.4 EvtDriverDeviceAdd函数 104
5.4.1 EvtDriverDeviceAdd的定义 104
5.4.2 局部变量的声明 105
5.4.3 磁盘设备的创建 105
5.4.4 如何处理发往设备的请求 107
5.4.5 用户配置的初始化 108
5.4.6 链接给应用程序 110
5.4.7 小结 111
5.5 FAT12/16磁盘卷初始化 111
5.5.1 磁盘卷结构简介 111
5.5.2 Ramdisk对磁盘的初始化 113
5.6 驱动中的请求处理 119
5.6.1 请求的处理 119
5.6.2 读/写请求 120
5.6.3 DeviceIoControl请求 122
5.7 Ramdisk的编译和安装 124
5.7.1 编译 124
5.7.2 安装 125
5.7.3 对安装的深入探究 125
练习题 126
第6章 磁盘过滤 127
很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题：重启之后，对硬盘的修改都奇迹般地消失了。这是怎么实现的呢？本章告诉您答案。
6.1 磁盘过滤驱动的概念 128
6.1.1 设备过滤和类过滤 128
6.1.2 磁盘设备和磁盘卷设备过滤驱动 128
6.1.3 注册表和磁盘卷设备过滤驱动 129
6.2 具有还原功能的磁盘卷过滤驱动 129
6.2.1 简介 129
6.2.2 基本思想 130
6.3 驱动分析 130
6.3.1 DriverEntry函数 130
6.3.2 AddDevice函数 132
6.3.3 PnP请求的处理 136
6.3.4 Power请求的处理 140
6.3.5 DeviceIoControl请求的处理 140
6.3.6 bitmap的作用和分析 144
6.3.7 boot驱动完成回调函数和稀疏文件 150
6.3.8 读/写请求的处理 152
6.3.9 示例代码 160
6.3.10 练习题 161
第7章 文件系统的过滤与监控 162
硬盘是硬盘，而文件系统是文件系统，可是有的人总是把它们当做一回事。其实硬盘很简单，硬盘就是一个很简单的保存信息的盒子；而复杂的是文件系统，它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家，我们当然不能让文件系统脱离我们的控制之外。
7.1 文件系统的设备对象 163
7.1.1 控制设备与卷设备 163
7.1.2 生成自己的一个控制设备 165
7.2 文件系统的分发函数 166
7.2.1 普通的分发函数 166
7.2.2 文件过滤的快速IO分发函数 167
7.2.3 快速IO分发函数的一个实现 169
7.2.4 快速IO分发函数逐个简介 170
7.3 设备的绑定前期工作 172
7.3.1 动态地选择绑定函数 172
7.3.2 注册文件系统变动回调 173
7.3.3 文件系统变动回调的一个实现 175
7.3.4 文件系统识别器 176
7.4 文件系统控制设备的绑定 177
7.4.1 生成文件系统控制设备的过滤设备 177
7.4.2 绑定文件系统控制设备 178
7.4.3 利用文件系统控制请求 180
7.5 文件系统卷设备的绑定 183
7.5.1 从IRP中获得VPB指针 183
7.5.2 设置完成函数并等待IRP完成 184
7.5.3 卷挂载IRP完成后的工作 187
7.5.4 完成函数的相应实现 190
7.5.5 绑定卷的实现 191
7.6 读/写操作的过滤 193
7.6.1 设置一个读处理函数 193
7.6.2 设备对象的区分处理 194
7.6.3 解析读请求中的文件信息 195
7.6.4 读请求的完成 198
7.7 其他操作的过滤 202
7.7.1 文件对象的生存周期 202
7.7.2 文件的打开与关闭 203
7.7.3 文件的删除 205
7.8 路径过滤的实现 206
7.8.1 取得文件路径的3种情况 206
7.8.2 打开成功后获取路径 207
7.8.3 在其他时刻获得文件路径 209
7.8.4 在打开请求完成之前获得路径名 209
7.8.5 把短名转换为长名 211
7.9 把sfilter编译成静态库 212
7.9.1 如何方便地使用sfilter 212
7.9.2 初始化回调、卸载回调和绑定回调 213
7.9.3 绑定与回调 215
7.9.4 插入请求回调 216
7.9.5 如何利用sfilter.lib 218
本章的示例代码 221
练习题 221
第8章 文件系统透明加密 223
如何阻止企业的机密文件被主动泄密，但是又不用关闭网络、禁止U盘等手段重重束缚大家？很多迹象表明，文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统，那么现在，该是我们摩拳擦掌，用它来保护我们的机密信息的时候了。
8.1 文件透明加密的应用 224
8.1.1 防止企业信息泄密 224
8.1.2 文件透明加密防止企业信息泄密 224
8.1.3 文件透明加密软件的例子 225
8.2 区分进程 226
8.2.1 机密进程与普通进程 226
8.2.2 找到进程名字的位置 227
8.2.3 得到当前进程的名字 228
8.3 内存映射与文件缓冲 229
8.3.1 记事本的内存映射文件 229
8.3.2 Windows的文件缓冲 230
8.3.3 文件缓冲：明文还是密文的选择 232
8.3.4 清除文件缓冲 233
8.4 加密标识 236
8.4.1 保存在文件外、文件头还是文件尾 236
8.4.2 隐藏文件头的大小 237
8.4.3 隐藏文件头的设置偏移 239
8.4.4 隐藏文件头的读/写偏移 240
8.5 文件加密表 241
8.5.1 何时进行加密操作 241
8.5.2 文件控制块与文件对象 242
8.5.3 文件加密表的数据结构与初始化 243
8.5.4 文件加密表的操作：查询 244
8.5.5 文件加密表的操作：添加 245
8.5.6 文件加密表的操作：删除 246
8.6 文件打开处理 248
8.6.1 直接发送IRP进行查询与设置操作 248
8.6.2 直接发送IRP进行读/写操作 250
8.6.3 文件的非重入打开 252
8.6.4 文件的打开预处理 255
8.7 读写加密/解密 260
8.7.1 在读取时进行解密 260
8.7.2 分配与释放MDL 261
8.7.3 写请求加密 262
8.8 crypt_file的组装 265
8.8.1 crypt_file的初始化 265
8.8.2 crypt_file的IRP预处理 266
8.8.3 crypt_file的IRP后处理 269
本章的示例代码 272
练习题 272
第9章 文件系统微过滤驱动 273
从来都不原地踏步的微软，早就准备好了下一代的文件系统过滤的框架、文档、代码例子。虽然本书的前两章的范例在Windows 7上都还可以正常运行，但是如果不学习一下最新的接口，读者一定会觉得不自在。但是读者可以放心，在前面学习的基础上，了解新的接口是易如反掌的。
9.1 文件系统微过滤驱动简介 274
9.1.1 文件系统微过滤驱动的由来 274
9.1.2 Minifilter的优点与不足 275
9.2 Minifilter的编程框架 275
9.2.1 微文件系统过滤的注册 276
9.2.2 微过滤器的数据结构 277
9.2.3 卸载回调函数 280
9.2.4 预操作回调函数 281
9.2.5 后操作回调函数 284
9.2.6 其他回调函数 285
9.3 Minifilter如何与应用程序通信 288
9.3.1 建立通信端口的方法 288
9.3.2 在用户态通过DLL使用通信端口的范例 290
9.4 Minifilter的安装与加载 292
9.4.1 安装Minifilter的INF文件 293
9.4.2 启动安装完成的Minifilter 294
本章的示例代码 295
练习题 295
第10章 网络传输层过滤 296
笔者常常使用防火墙，它们看上去真的很神奇。如果怀疑自己的机器上有见不得人的进程打开了网络端口盗走机密信息，防火墙将提醒您，虽然防火墙并不知道它是否是一个木马。这是怎么做到的？本章为您揭晓谜底。
10.1 TDI概要 297
10.1.1 为何选择TDI 297
10.1.2 从socket到Windows内核 297
10.1.3 TDI过滤的代码例子 299
10.2 TDI的过滤框架 299
10.2.1 绑定TDI的设备 299
10.2.2 唯一的分发函数 300
10.2.3 过滤框架的实现 302
10.2.4 主要过滤的请求类型 304
10.3 生成请求：获取地址 305
10.3.1 过滤生成请求 305
10.3.2 准备解析IP地址与端口 307
10.3.3 获取生成的IP地址和端口 308
10.3.4 连接终端的生成与相关信息的保存 310
10.4 控制请求 311
10.4.1 TDI_ASSOCIATE_ADDRESS的过滤 311
10.4.2 TDI_CONNECT的过滤 313
10.4.3 其他的次功能号 314
10.4.4 设置事件的过滤 316
10.4.5 TDI_EVENT_CONNECT类型的设置事件的过滤 318
10.4.6 直接获取发送函数的过滤 320
10.4.7 清理请求的过滤 322
10.5 本书例子tdifw.lib的应用 323
10.5.1 tdifw库的回调接口 323
10.5.2 tdifw库的使用例子 325
本章的示例代码 326
练习题 327
第11章 NDIS协议驱动 328
网络的连接只是外表而已，实际上，最终它们变成了一个个在网线上往返的网络包。高明的黑客是不会去用Socket来生成连接的。把黑暗的信息隐藏在单个的数据包里，你还可以发现它们吗？本章介绍的NDIS协议驱动，是Windows网络抓包工具的基础。
11.1 以太网包和网络驱动架构 329
11.1.1 以太网包和协议驱动 329
11.1.2 NDIS网络驱动 330
11.2 协议驱动的DriverEntry 331
11.2.1 生成控制设备 331
11.2.2 注册协议 333
11.3 协议与网卡的绑定 335
11.3.1 协议与网卡的绑定概念 335
11.3.2 绑定回调处理的实现 335
11.3.3 协议绑定网卡的API 338
11.3.4 解决绑定竞争问题 339
11.3.5 分配接收和发送的包池与缓冲池 340
11.3.6 OID请求的发送和请求完成回调 342
11.3.7 ndisprotCreateBinding的最终实现 345
11.4 绑定的解除 351
11.4.1 解除绑定使用的API 351
11.4.2 ndisprotShutdownBinding的实现 353
11.5 在用户态操作协议驱动 356
11.5.1 协议的收包与发包 356
11.5.2 在用户态编程打开设备 357
11.5.3 用DeviceIoControl发送控制请求 358
11.5.4 用WriteFile发送数据包 360
11.5.5 用ReadFile发送数据包 362
11.6 在内核态完成功能的实现 363
11.6.1 请求的分发与实现 363
11.6.2 等待设备绑定完成与指定设备名 364
11.6.3 指派设备的完成 365
11.6.4 处理读请求 368
11.6.5 处理写请求 370
11.7 协议驱动的接收回调 374
11.7.1 和接收包有关的回调函数 374
11.7.2 ReceiveHandler的实现 376
11.7.3 TransferDataCompleteHandler的实现 380
11.7.4 ReceivePacketHandler的实现 381
11.7.5 接收数据包的入队 383
11.7.6 接收数据包的出队和读请求的完成 385
本章的示例代码 388
练习题 389
第12章 NDIS小端口驱动 390
如果厌烦了漏洞百出的以太网，还有什么可以充当我的网络接口吗？当然，一切能通信的设备，皆有替代以太网的潜质。即使您不愿意修改无数通过TCP接口编程的应用程序，我们依然可以用其他通信设备来虚拟网卡。本章介绍小端口驱动来虚拟网卡的技术。
12.1 小端口驱动的应用与概述 391
12.1.1 小端口驱动的应用 391
12.1.2 小端口驱动的实例 392
12.1.3 小端口驱动的运作与编程概述 393
12.2 小端口驱动的初始化 393
12.2.1 小端口驱动的DriverEntry 393
12.2.2 小端口驱动的适配器结构 396
12.2.3 配置信息的读取 397
12.2.4 设置小端口适配器上下文 398
12.2.5 MPInitialize的实现 399
12.2.6 MPHalt的实现 402
12.3 打开ndisprot设备 403
12.3.1 I/O目标 403
12.3.2 给IO目标发送DeviceIoControl请求 404
12.3.3 打开ndisprot接口并完成配置设备 406
12.4 使用ndisprot发送包 409
12.4.1 小端口驱动的发包接口 409
12.4.2 发送控制块（TCB） 409
12.4.3 遍历包组并填写TCB 412
12.4.4 写请求的构建与发送 415
12.5 使用ndisprot接收包 417
12.5.1 提交数据包的内核API 417
12.5.2 从接收控制块（RCB）提交包 418
12.5.3 对ndisprot读请求的完成函数 420
12.5.4 读请求的发送 422
12.5.5 用于读包的WDF工作任务 424
12.5.6 ndisedge读工作任务的生成与入列 426
12.6 其他的特征回调函数的实现 428
12.6.1 包的归还 428
12.6.2 OID查询处理的直接完成 429
12.6.3 OID设置处理 432
本章的示例代码 433
练习题 434
第13章 NDIS中间层驱动 435
当我们不满足于抓包和发包，而试图控制本机上流入和流出的所有数据包的时候，NDIS中间层驱动是最终的选择。防火墙的功能在这里得到加强：我们不再满足于看到连接、端口、对方IP地址，而是要看到每一个数据包的原始结构。本章介绍NDIS中间层驱动。
13.1 NDIS中间层驱动概述 436
13.1.1 Windows网络架构总结 436
13.1.2 NDIS中间层驱动简介 437
13.1.3 NDIS中间层驱动的应用 438
13.1.4 NDIS包描述符结构深究 439
13.2 中间层驱动的入口与绑定 442
13.2.1 中间层驱动的入口函数 442
13.2.2 动态绑定NIC设备 443
13.2.3 小端口初始化（MpInitialize） 445
13.3 中间层驱动发送数据包 447
13.3.1 发送数据包原理 447
13.3.2 包描述符“重利用” 448
13.3.3 包描述符“重申请” 451
13.3.4 发送数据包的异步完成 453
13.4 中间层驱动接收数据包 455
13.4.1 接收数据包概述 455
13.4.2 用PtReceive接收数据包 456
13.4.3 用PtReceivePacket接收 461
13.4.4 对包进行过滤 463
13.5 中间层驱动程序查询和设置 466
13.5.1 查询请求的处理 466
13.5.2 设置请求的处理 468
13.6 NDIS句柄 470
13.6.1 不可见的结构指针 470
13.6.2 常见的NDIS句柄 471
13.6.3 NDIS句柄误用问题 473
13.6.4 一种解决方案 475
13.7 生成普通控制设备 476
13.7.1 在中间层驱动中添加普通设备 476
13.7.2 使用传统方法来生成控制设备 478
本章的示例代码 483
练习题 483
附录A 如何使用本书的源码光盘 485

⑦ 系统提示磁盘过滤失败要怎么处理

磁盘过滤驱动的问题。
直接换个验证过的系统盘重装系统就行了，这样就可以全程自动，顺利解决。用u盘或者硬盘这些都是可以的，且安装速度非常快。
但关键是，要有兼容性好的，兼容ide，achi，Raid模式的安装，并能自动永久激活的，能够自动安装机器硬件驱动序的系统盘，这就可以全程自动，顺利重装系统了。

⑧ 新版机器狗病毒特征，请详细讲解

新版“机器狗”病毒详细分析资料(全部资料的一少部分)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
报告名称：新版“机器狗”病毒详细分析资料(全部资料的一少部分)
报告类型：病毒原理逆向反汇编分析播报
编写作者：Coderui
编写日期：2008年01月15日
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
------------------------------------------------------------------------
对比“机器狗”一类新、老版本病毒的特征：

1：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。
2：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。
3：新版本“机器狗”病毒驱动文件很小(1,536 字节)，老版本“机器狗”病毒驱动文件很大(6,768 字节)。
4：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。
5：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。
6：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程序”系统会将其还原掉)。
7：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。
8：新版本“机器狗”病毒采用的是控制台程序图标，老版本“机器狗”病毒采用的是黑色机器小狗图案的图标。

大概列举出来了上边的几点，经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。
------------------------------------------------------------------------
错误纠正：

在此要纠正两个技术性的问题，网络上流传的一些关于分析“机器狗”病毒(新、老版本)的部分文章中，有两处表达错误的地方。

第一处是：在那些分析文章中所提到“‘机器狗’病毒会破坏‘还原保护程序’系统，使其还原功能失效”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并没有破坏‘还原保护程序’系统，也没有使其还原功能失效。只是安装了一个病毒自己的磁盘过滤驱动去操作真实的磁盘I/O端口，向真实的磁盘中执行修改覆盖“C:\windows\explorer.exe”目标文件(文件名是病毒作者定义的，不固定、会变。但肯定的是，真实磁盘中是存在该文件的。并且病毒运行后，一般只会修改覆盖一个真实磁盘中的系统文件，再不会去破坏其它真实磁盘中的文件)操作。虽然‘机器狗’病毒运行后下载了很多其它恶意程序并安装运行，但重新启动计算机后，这些都会被‘还原保护程序’系统还原掉的，只是唯一那个被修改覆盖的真实磁盘文件没有被还原。如果发现重新启动计算机后，系统中依然有一大堆病毒在运行。其实，这些都是系统重新启动后，由那个被修改覆盖后的系统程序全部重新下载回来并安装运行的恶意程序。也就是说，每次重新启动计算机，都要重新下载安装一次所有的其它恶意程序”。

第二处是：在那些分析文章中所提到“‘机器狗’病毒会替换系统中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”或“‘机器狗’病毒会感染系统中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并不是替换了系统中的那些正常文件，而是针对那些正常文件在硬盘中所存放的真实物理地址进行以覆盖的方式去写入相应的恶意数据。大家可以找来正常的系统文件‘explorer.exe’、被病毒修改覆盖后的系统文件‘explorer.exe’和病毒释放出来的恶意程序‘tmp281.tmp’。对比它们内部数据代码后会发现，被病毒修改后的系统文件‘explorer.exe’的前部分数据代码和”病毒释放出来的恶意程序‘tmp281.tmp’文件的数据代码是完全相同的，而后边的数据代码依然是正常系统文件‘explorer.exe’后边的数据代码。”。

简单的概念解释：
替换：把原目标程序的数据代码全部清除掉，用新程序的数据代码来代替以前的整个程序。这样，替换后的程序只有新程序的功能。
感染：在不破坏原目标程序数据代码的前提下，向原目标程序的数据代码中追加上新程序的数据代码。这样，感染后的程序既有原目标程序的功能，又有新程序的功能。
覆盖：从原目标程序数据代码的文件头0地址处开始，向后依次执行覆盖写入新程序的数据代码操作，我们这里只假设原目标程序文件远远大于新程序。这样，覆盖后的程序只执行新程序的功能，虽然原目标程序的数据代码还存在一部分，但由于没有被调用，所以不会执行。
------------------------------------------------------------------------
总结：
上边所指的“还原保护程序”为利用磁盘过滤驱动技术编写而成的系统还原保护程序，出名一点的软件有“冰点还原精灵”和“影子系统”等。也就是说，就算用户计算机安装了上边这样的“还原保护程序”，只要是中了“机器狗”一类利用穿“还原保护程序”技术的病毒，就算您重新启动计算机了，但被修改的那个文件“explorer.exe”也是依然不会被还原的，因为病毒的恶意代码已经覆盖进了这个真实的磁盘文件中。

目前的“机器狗”一类利用穿“还原保护程序”技术的病毒有一个致命的软肋，那就是他们所覆盖的真实系统文件在重新启动计算机后一定要自启动运行，不然就失去病毒存在的意义了。现今的“机器狗”病毒都只是能够穿透磁盘保护的，并穿透不了注册表(无法在注册表中保存添加或修改后的数据信息)，这个就是它最大的缺陷。其实，注册表数据信息也是以文件的形式保存在磁盘中的，下一代“机器狗”病毒可能会实现穿透注册表的功能，等那个时候，可能就很难防范了。这还是不算什么的，下下一代的“机器狗”病毒可能会利用自己的磁盘过滤驱动去感染真实硬盘下的PE文件，相当的恐怖啊！！

一旦感染了该版本的“机器狗”病毒，它不仅仅可以穿透“还原保护程序”，真实系统也一样会中毒。因为病毒修改覆盖了真实的系统文件“C:\windows\explorer.exe”。所以每次重新启动计算机后，被修改覆盖的系统程序“C:\windows\explorer.exe”它都会在被感染计算机的后台连接网络下载骇客事先定义好的下载列表中的全部恶意程序并自动调用运行。那么如果中该病毒的用户比较多，几万台计算机同时启动，骇客的下载服务器会挂掉吗？呵呵~！！
------------------------------------------------------------------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

问提：1、这个最新的机器狗变种，是否与你12月19日发的病毒播报中的机器狗变种是同一个病毒？
回答：不是同一个病毒，只是工作原理十分的相似而已。经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。

问提：2、这个最新的机器狗变种是否功能更强大？强大在那儿？与以往机器狗病毒的不同之处在哪？
回答：应该是相对的强大了些。对比“机器狗”一类新、老版本病毒的部分特征如下：
(1)：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。
(2)：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。
(3)：新版本“机器狗”病毒驱动文件很小(1,536 字节)，老版本“机器狗”病毒驱动文件很大(6,768 字节)。
(4)：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。
(5)：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。
(6)：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程序”系统会将其还原掉)。
(7)：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。
(8)：新版本“机器狗”病毒采用的是控制台程序图标，老版本“机器狗”病毒采用的是黑色机器小狗图案的图标。

问提：3、机器狗病毒对网吧的影响很大，对个人用户的影响有多少？
回答：个人用户的影响与网吧的影响是同样大的。因为不管计算机系统是否安装“还原保护系统”程序，都会同样下载非常多的(目前是下载27个恶意程序)网络游戏盗号木马等恶意程序进行安装运行，从而给被感染计算机用户带去一定的损失。如果“用户计算机硬件配置比较低”或者“存在所下载的多个恶意程序中出现相互不兼容现象”的话，会导致用户计算机系统崩溃掉无法启动运行。

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

手动杀毒方法：

1：结束掉被病毒修改覆盖后的“C:\windows\explorer.exe”程序进程，删除该程序文件。
2：也许系统会自动还原回来一个正常的“explorer.exe”桌面程序，如果没有还原的话，我们可以手动把“C:\windows\system32\dllcache\”下的“explorer.exe”文件拷贝到“C:\windows\”下。
3：手动卸载掉病毒恶意驱动程序“phy.sys”文件。可以在注册表中找到病毒恶意驱动程序“phy.sys”的启动关联位置然后删除，接着再删除掉“C:\windows\system32\DRIVERS\phy.sys”文件。 我实际试过N次这种方法，针对该病毒决定好使。
4：重新启动计算机后，一切就都会变为正常了。但是该新版的“机器狗”病毒会下载27个(不固定)恶意程序到被感染计算机中安装运行，这些病毒可以安装江民公司的KV2008去查杀，效果很不错。

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>