Daemon Tools自甘堕落　强行驻留用户电脑

昨天无意中使用haiwei的rootkit检测工具NIAPSoft AntiRootkit Tools检查我的电脑，发现SSDT HOOK，对应的驱动文件名为sp??.sys（??字符为随机的两个字母，每次重启就变），使用冰刃检查SSDT HOOK明明看到这个驱动的路径在c:\windows\system\drviers下，而在c:\windows\system\drviers下却找不到该文件的任何影子，当然第一感觉是中了未知木马，试着用冰刃恢复SSDT，再找，仍然找不到。

立即重启系统，用WINPE引导，但WINPE下检查这个文件也没有任何结果。安装了很多东东，天知道这玩意儿从哪儿来的。

记得以前看过一个来源于微软知识库的文章，当系统被rootkit入侵时，你无法预料最终会有什么结果，因为rootkit程序，它可以做任何事，只要作者愿意。众所周知的sony数字版权软件植入rootkit事件，在欧美引起过轩然大波，Sony事件的曝光，源自于Sysinternals的牛人Mark Russinovich，他在2005年10月30日的Blog中，首次披露了Sony的数字版权软件包含Rootkit：Sony, Rootkits and Digital Rights Management Gone Too Far。这件事之后，大量木马开始使用rootkit技术，而rootkit技术已经成为商业软件的禁区：公众无论如何都无法接受自己的电脑中被商业公司植入后门。

在微软的知识库中提到，对付rootkit，最安全的办法是重置你的操作系统，也就是重装。因为rootkit程序入侵你的系统后，该程序很可能会欺骗系统，导致你所看到的结果都是假象。通常情况下，可以用winpe把这样的程序找到后删除，再删除与该程序相关的驱动、服务或其它加载项。但这次我被打败了，我决定重装。

当晚重装了系统，把自己常用的几个工具再装上，打好系统补丁。当晚忘了用rootkit检测工具检查，后来的事实证明，这个决定太英明了，不然昨晚还不知几点钟能睡着。

今天在公司再用haiwei的这个工具一查，立即崩溃中，那个该死的rootkit又出来了。

并且肯定隐藏在我昨天安装的那几个工具软件中。想想这东东总不会藏在几个大个的商业软件中，于是将昨天安装的那几个共享软件一一卸载，再查，没有任何改善：那个rootkit始终在我的电脑里。对于搞反病毒的我来说，rootkit程序在我的电脑里驻留是不可接受的。

于是决定把这几个共享软件在虚拟机中安装测试，装完就用haiwei的工具检查是不是多了不明不白的东西。在试验了10多个工具之后，终于在Daemon Tool lite版中找到它的踪迹。这可是我长期使用的一个虚拟光盘软件，我很难接受它变成流氓软件的现实。在我安装Daemon Tools时，也会避免安装它的搜索插件和其它功能。尝试卸载Daemon Tools，重启发现这个rootkit仍然存在。

发现卸载Daemon Tools后，注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驱动还在，将其属性修改为禁用，重启。再用冰刃和haiwei的工具检查，发现那个sp??.sys没有再加裁了，但是注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd键仍不可删除。万没想到这个深受爱戴的共享软件，已经彻底堕落为流氓，天知道Daemon tools要用rootkit来做什么。

申明，我所安装的Daemon Tools为官网下载，有该公司的数字签名。

文件名：daemon4120-lite.exe，版本号4.12.00

MD5值：df48777f9e9876f3abacbcd8652d3caa