最近看到网上大量流传各种关于机器狗的原理的说法,还有防止方法。给我的感觉就是:把简单问题说复杂了,把一般问题说难了。
其实机器狗的原理非常简单,要不,你想一下,狗那会变得这么快,防止起来又这么难。我的生活经验告诉我,简单的东西,才是最难防止的。
在说原理前,先罗列当前网上的流传的几种说法:
1、江民对机器狗的定义:
中文名:"机器狗"病毒
英文名:Trojan/Agent.pgz
病毒类型:木马
危害等级:★★★
影响平台:Win9X/ME/NT/2000/XP/2003
病毒运行后,会在%WinDir%\System32\drivers 目录下释放出一个名为pcihdd.sys 的驱动程序,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017等系统漏洞下载多个木马病毒………
http://www.jiangmin.com/zhuanti/dog/dogdel.htm
2、瑞星的说法:
机器狗木马病毒介绍:
机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe,并建立一个包含病毒的userinit.exe,随系统每次启动时加载到系统中。此文件运行后会在系统的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一
系列反病毒软件和安全工具的键值,使这些软件和工具无法正常运行。另外病毒还会尝试注入IE进程通过互联网下载病毒的更新,达到躲避查杀与侦测的目的。
http://it.rising.com.cn/Channels/Service/2008-02/1201952872d45281.shtml
3、其它网站说法:
日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息。
通过对病毒样本进行分析,我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发,并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本,更成熟的版本相信会更具备破坏力。
http://www.txwb.com/special/mathinedog/
总结:三种常见说法:以瑞星的最不靠边,所以不反驳他了。其它二种说法,主要就是说:会有一个驱动(pcihdd.sys)来替换掉还原软件对于硬盘的控制权,从来达到穿透目的。大家也对这样的说法深信不疑,其实这个说法一样不靠边。从实际分析:如果我们假设这个说法成立,那么毒替换后,系统处于不保护状态,所以病毒可以修改系统文件,这时,我们的操作系统和用户也在对硬盘数据进行读写,那么为什么没有保存下来?只保存了毒的操作呢?为什么中毒后,打开还原,还原还是正常的,并没有异常呢?
原因在于:上面说法是错误的。真正的原理是,pcihdd.sys加载后,通过一个内核函数IoGetDeviceObjectPointer取得设备对像的指针。然后直接构建IRP包,通过IoCallDriver对这个设备进行读写。
这时,应用程序要穿透那一个文件,就对这个文件进行计算,算出这个文件所在的物理磁盘偏移量,然后把要写进去的数据和位置一起传给驱动,驱动就对这里进去读写。完成后返回给应用程序。就达到穿透的目的了。