病毒子文件gdipro.dll、rpcss.dll、sys17002.dll会被释放到%WINDOWS%＼SYSTEM32＼目录下，并写入注册表启动项，实现开机自 启动。其中gdipro.dll和rpcss.dll会被用于替换掉系统自身一个名为rpcss.dll的文件及其备份，使得病毒能够躲避系统安全模块和 安全软件的查杀。但也正因如此，当查杀该毒时，系统就可能因失去rpcss.dll文件而运行异常，比如网络中断、无法粘贴文档等。

而sys17002.dll则负责盗取帐号信息，盗取成功后就将赃物加密发送到病毒作者指定的地址。

用户如果进行手动查杀，需要将上述几个文件全部删除，然后将系统文件“C:＼WINDOWS＼system32＼srpcss.dll”改名为“C:＼WINDOWS＼system32＼rpcss.dll”，以恢复系统自身功能。同时，需对注册表做以下两项修改：

将“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼rpcss＼ObjectName”改为“NTAUTHORITY＼NetworkService”。

将“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼rpcss＼Parameters＼ServiceDll”改为“%SystemRoot%＼system32＼rpcss.dll”

完成以上步骤后，重启电脑，然后利用杀毒软件全盘查杀一次，系统就可以完全恢复正常了。

如果以上操作无效，可以参考爱毒霸社区版主vistalong的文章：HBkernel系列病毒（蝗虫军团）病毒的总结尝试恢复系统文件。

（一）.免疫革离术功能介绍

据官方介绍：墨者安全专家的免疫革离术是融合了反rootkit技术、用户权限管理技术和白名单技术并有机集成的免疫防御技术。普通应用程序在墨者免疫“革离“术下被剥夺了对系统关键资源如启动时自运行、安装驱动、服务、钩子等的访问权限，仅在确认无害而且是必须访问关键资源的应用程序才赋予相应的权限。这样未知新病毒和木马就无法在用户电脑系统中自动被安装、潜伏和实施攻击、窃取帐号密码等敏感资料。就像是未知的恶意软件被关进了牢房，无法对用户电脑造成伤害。而这一“牢房“又由墨者强大的反rootkit技术又保证不会被突破。此外，墨者安全专家系统资源占用极小(硬盘、内存、CPU…)且基本无需更新，让用户的电脑系统资源尽最大可能地被用于用户的工作和娱乐。

比起墨者第一代的革离术，开启第二代革离术显得更方便。用户在开启第一代革离术时，需要转换不同的磁盘格式，并且同时创建一个新帐户，甚至还要修改一些目录属性，而第二代革离术只需要点“立即开启”，一秒钟内便轻松开启了革离术。（如图1）

（二）.免疫革离术防毒测试

免疫革离术在功能上更加易用了，但是会不会在安全上打折扣呢？笔者在未安装杀毒软件的情况下，基于墨者免疫革离术开启的环境里运行了数十款九月份比较流行的木马，截上几张比较有代表性的图片。

   （图2. 号称饿死杀毒软件厂商的病毒——中华吸血鬼立刻胎死腹中）

（图3. 横行一时的机器狗木马变种立刻出错并且无法运行）

大家可以看到墨者二代革离术依旧把电脑进行了病毒免疫，让那些未知的病毒木马都毫无用处。

资源占用情况是用户在选择一款放心安全软件所必看的参数，我们来看看墨者安全专家在这方面的具体数据 

（图5.墨者安全专家所运行的进程以及内存使用情况）

2008年上半年，电脑病毒、木马的数量依然保持着高速增长，新病毒不断涌现，一些“老”病毒在大量下载器病毒的带动下也异常活跃。 与此同时，病毒、木马与安全软件之间的对抗日益加剧，以机器狗、磁碟机、AUTO木马群为代表的对抗型病毒已经成为广大用户电脑安全的主要威胁。

一 .机器狗

病毒名称：Trojan.Psw.Onlinegame.Dog

病毒中文名：.机器狗

病毒类型：木马

危险级别：★★★★

影响平台：Win9X/2000/XP/NT/Me

描述:机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒变种繁多，多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户电脑带来严重的威胁。机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe,winhlp32.exe等）达到隐蔽启动；通过底层技术穿透冰点，影子等还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全；通过修复SSDT（就是恢复安全软件对系统关键API的HOOK），映像挟持，进程操作等方法使得大量的安全软件失去作用；联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁，部分机器狗变种还会下载ARP恶意攻击程序对所在局域网（或者服务器）进行ARP欺骗影响网络安全。

二.磁碟机

病毒名称：Trojan.Psw.Onlinegame.CD

病毒中文名：磁碟机

病毒类型：木马

危险级别：★★★★★

影响平台：Win9X/2000/XP/NT/Me

简介:

电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。病毒一旦发现带有符合安全工具软件相关的窗口名存在，就会强行将其关闭（发送洪水似垃圾消息）。在所有盘符下生成“autorun.inf”和病毒程序文件体，并且会实时检测保护这些文件。病毒会下载20余种木马病毒，用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀，其隐藏和自我保护技术超过机器狗。

三.AV终结者

病毒名称：Trojan/Anti-AV

病毒中文名：Av终结者

病毒类型：木马

危险级别：★★★★★

影响平台：Win9X/2000/XP/NT/Me

描述:“AV终结者”即＂帕虫＂是一系列反击杀毒软件，破坏系统安全模式、植入木马下载器的病毒，它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(Anti-Virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是，用户即使重装操作系统也无法解决问题：格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁，安全性几乎为零。它还自动连接到某网站，下载数百种木马病毒及各类盗号木马、广告木马、风险程序，在用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。

四.网游窃贼

病毒名称：Trojan/PSW.GamePass.Gen

病毒中文名：网游大盗

病毒类型：木马

危险级别：★★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

描述：Trojan/PSW.GamePass“网游大盗”是一个盗取网络游戏帐号的木马程序，会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，会给游戏玩家带去不同程度的损失。 “网游大盗”会通过在被感染计算机系统注册表中添加启动项的方式，来实现木马开机自启动。

五.下载者   （http://hi.baidu.com/mp_man/blog/item/057144db564526ddb7fd482f.html  ）

病毒名称：w32.Troja.downloader
中 文 名：下载者

病毒类型：木马下载器
危害等级：★★★★

描述:该病毒为Windows平台下通过网络下载QQ木马、网游木或其它病毒的下载器病毒运行后将自己伪装成伪系统正常文件，并利用特殊技术将病毒代码注入到系统正常进程中，以绕过网络防火墙的监视。然后下载其它病毒。

六.Rootkit

病毒名称：Rootkit.Agent.xd
中 文 名：Rootkit

病毒类型：病毒

危害等级：★★★★★

 Rootkit基本是由几个独立程序组成，一个典型rootkit包括： 以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序，为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具，攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其 它文件的脚本。

七.灰鸽子

病毒名称：Backdoor/Huigezi

病毒中文名：灰鸽子

病毒类型：后门

危险级别：★★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

描述：Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“灰鸽子”运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存(文件属性设置为：只读、隐藏、存档)。“灰鸽子”是一个反向连接远程控制后门程序，运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。中毒后的计算机会变成网络僵尸，骇客可以远程任意控制被感染的计算机，还可以窃取用户计算机里所有的机密信息资料等，会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务，以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后，会自我删除。

八.U盘病毒

病毒名称：Checker/Autorun

病毒中文名：U盘寄生虫

病毒类型：蠕虫

危险级别：★★★★

一周感染量：18184台

影响平台：Win 9X/ME/NT/2000/XP/2003

描述：Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“Autorun.inf”文件和蠕虫病毒主程序体，来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时，可能会在被感染计算机系统中定时弹出恶意广告网页，或是下载其它恶意程序到被感染计算机系统中并调用安装运行，会给用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式，来实现蠕虫开机自启动。

九.QQ大盗

病毒名称：Trojan/Psw.Ala.QQpass

病毒中文名：QQ大盗

病毒类型：蠕虫

危险级别：★★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

描述：Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“QQ大盗”运行时，会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息，然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件，从而来保护自身不被查杀。“QQ大盗”运行时，会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料，并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里，会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式，来实现开机木马自启动。

十. Flash漏洞攻击器

病毒名称：Hack.Exploit.Swf.A

病毒中文名：Flash漏洞攻击器

病毒类型：蠕虫

危害级别：★★★★

一周感染量：1890453

影响平台：Win 9X/ME/NT/2000/XP/2003

这是一个黑客程序，可以破坏Flash插件的安全机制，使其它病毒获取系统权限，侵入用户电脑。目前每天有数十万台电脑被此病毒感染，危害十分严重。此病毒会被植入“挂马网站”中，用户浏览时就可能中毒。目前已截获的主要是木马下载器病毒，它们会从网上下载其它多种盗号木马，窃取流行网络游戏的账号和装备。

墨者安全专家认为：尽管杀毒厂商有对以上病毒作出反应，但是传统的特征码扫描技术被病毒木马打击的溃不成军，如果下一个类似“磁碟机”“AV终结者”出现的时候谁来保护杀毒软件，网络安全现在的问题不仅仅是传统厂家与黑客之间的博弈，面对日益完善的黑色产业链，靠杀毒软件支持的时代已经过去，安全厂商应该把防御放到首要未知，主动免疫的时代已经来临。

来自奇虎的反木马专家郑文彬，在现场发表演讲。以下为文字实录：

郑文彬：大家好！我今天给大家介绍这几个方面：背景、还原系统技术原理概览、流行还原系统穿透技术介绍、通用还原系统保护技术、演示&GuardField、还原系统保护之未来趋势。最近一段时间，有机器狗这类病毒工具对还原系统攻击，使用还原系统环境的用户一般都不会安装其他的防护软件，一旦还原软件被穿透的话，会带来比较大的安全威胁。

还原系统技术原理：基本原理是磁盘设备过滤驱动。比较常用方法是自己会建一个磁盘卷设备，在harddiskX进行文件过滤。过滤驱动如何做到还原？首先还原系统会在磁盘上分配一块预留的区域，应用程序以为他已经写到真实磁盘，实际上被分配到一块内容区域里，真实磁盘根本就没有被写入。

下面介绍一下还原软件怎么更新过滤。首先是一个普通的Windows程序，会调用Win32API，从用户模式到内存模式，这些函数调用Windows内核，把文件请求发到文件系统上，根据磁盘卷分区格式不同来创建。文件系统设备会将上层发来的文件读写请求转化磁盘读写请求，在harddisk volume之前会有还原系统过滤驱动。再往下会根据硬盘接口不同而有不同。如果IDE结构硬盘，会发布到电源系统。api最终会调用函数读写端口。如果是USB设备，会发送到usb stor。

刚才说了还原系统的一些基本原理，知道原理之后对如何穿透还原也就很简单了。既然还原系统都在磁盘上过滤驱动，只要我们解除过滤驱动与真实磁盘之间的关系，绕过过滤关系的话，就等于直接穿透了还原。第一种方法：DR0设备过滤设备链摘链。这种方法其实就是摘除一个harddiskDR0上的过滤设备。指明设备上会有哪些过滤设备，第一代机器狗病毒将这个域给清零，导致还原系统设备被清除，所有请求就不通过还原系统直接到达过滤磁盘设备。对于没有防备的还原系统就被成功攻破了。国内大部分还原系统都没有办法对抗这种技术。但是这种技术也是有一些缺陷的，只能摘除在DR0上的物理设备。文件请求先到达磁盘卷，磁盘卷上的过滤设备摘除的话对系统有影响。所以第一代机器狗病毒使用了自己解析文件系统方式进行感染，这是它的缺陷。

第二种方法：会自己创建虚拟磁盘设备，作为磁盘卷挂载到文件系统上，对虚拟磁盘读写影射到真实磁盘，将请求下发到下层设备。相对第一代机器狗来说，这种方法不需要对磁盘系统摘除，可以通过文件对虚拟磁盘操作，操作结果是和对真实磁盘操作是一样的，可以成功穿透还原。在这里还用一种方式就是他没有直接发送磁盘读写请求，发送SCSI-REQUEST-BLOCK下发到下层磁盘设备。

还有一种方法，这是方法不使用驱动程序，直接在用户模式穿透还原系统。磁盘系统提供一套passthrough指令，不向磁盘发送直接请求，就可以获取磁盘信息甚至直接读写磁盘扇区。IDE/SCSI/ATA Pass Through指令穿透还原，RING3下使用Devicelocontrel函数发送请求。大多数还原系统对此过滤不严或根本未过滤，导致在RING3下即可达成攻击。

其他一些方法，比如说直接操作端口驱动，比如USB，更底层的磁盘操作：端口驱动、直接IO等等，缺点是难度大，通用较麻烦。另外的方法是可以摘除其他一些过滤设备，Attach到还原系统上，先于磁盘系统获得磁盘的请求，可以做一个绕过动作。可以在磁盘卷设备保存指针上所手脚。方法很多，不再一一解释了。主要是两类，第一类是新的磁盘技术或者磁盘卷绕过或者穿透的一些技巧。

通用还原系统的保护技术，GuardField。还原系统脆弱的原因是什么呢？刚才也说过了他是通过磁盘设备上的过滤驱动，也就是说他跟磁盘设备没有紧密联系，只要被攻击者使用、摘除或者绕过方法就可以把磁盘请求发送到真实磁盘上。穿透基本原理：必须使读写请求不经过还原系统物理驱动，而是到了下层的物理磁盘设备。这里就有一个穿透思路，一个磁盘请求是从上层逐层发布到下层，我们只要监控发送路径，进行对比操作，就可以作为一个还原穿透的�