昨天無意中使用haiwei的rootkit檢測工具NIAPSoft AntiRootkit Tools檢查我的電腦，發現SSDT HOOK，對應的驅動文件名為sp??.sys（??字符為隨機的兩個字母，每次重啟就變），使用冰刃檢查SSDT HOOK明明看到這個驅動的路徑在c:\windows\system\drviers下，而在c:\windows\system\drviers下卻找不到該文件的任何影子，當然第一感覺是中了未知木馬，試著用冰刃恢復SSDT，再找，仍然找不到。

立即重啟系統，用WINPE引導，但WINPE下檢查這個文件也沒有任何結果。安裝了很多東東，天知道這玩意兒從哪兒來的。

記得以前看過一個來源于微軟知識庫的文章，當系統被rootkit入侵時，你無法預料最終會有什么結果，因為rootkit程序，它可以做任何事，只要作者愿意。眾所周知的sony數字版權軟件植入rootkit事件，在歐美引起過軒然大波，Sony事件的曝光，源自于Sysinternals的牛人Mark Russinovich，他在2005年10月30日的Blog中，首次披露了Sony的數字版權軟件包含Rootkit：Sony, Rootkits and Digital Rights Management Gone Too Far。這件事之后，大量木馬開始使用rootkit技術，而rootkit技術已經成為商業軟件的禁區：公眾無論如何都無法接受自己的電腦中被商業公司植入后門。

在微軟的知識庫中提到，對付rootkit，最安全的辦法是重置你的操作系統，也就是重裝。因為rootkit程序入侵你的系統后，該程序很可能會欺騙系統，導致你所看到的結果都是假象。通常情況下，可以用winpe把這樣的程序找到后刪除，再刪除與該程序相關的驅動、服務或其它加載項。但這次我被打敗了，我決定重裝。

當晚重裝了系統，把自己常用的幾個工具再裝上，打好系統補丁。當晚忘了用rootkit檢測工具檢查，后來的事實證明，這個決定太英明了，不然昨晚還不知幾點鐘能睡著。

今天在公司再用haiwei的這個工具一查，立即崩潰中，那個該死的rootkit又出來了。

并且肯定隱藏在我昨天安裝的那幾個工具軟件中。想想這東東總不會藏在幾個大個的商業軟件中，于是將昨天安裝的那幾個共享軟件一一卸載，再查，沒有任何改善：那個rootkit始終在我的電腦里。對于搞反病毒的我來說，rootkit程序在我的電腦里駐留是不可接受的。

于是決定把這幾個共享軟件在虛擬機中安裝測試，裝完就用haiwei的工具檢查是不是多了不明不白的東西。在試驗了10多個工具之后，終于在Daemon Tool lite版中找到它的蹤跡。這可是我長期使用的一個虛擬光盤軟件，我很難接受它變成流氓軟件的現實。在我安裝Daemon Tools時，也會避免安裝它的搜索插件和其它功能。嘗試卸載Daemon Tools，重啟發現這個rootkit仍然存在。

發現卸載Daemon Tools后，注冊表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驅動還在，將其屬性修改為禁用，重啟。再用冰刃和haiwei的工具檢查，發現那個sp??.sys沒有再加裁了，但是注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd鍵仍不可刪除。萬沒想到這個深受愛戴的共享軟件，已經徹底墮落為流氓，天知道Daemon tools要用rootkit來做什么。

申明，我所安裝的Daemon Tools為官網下載，有該公司的數字簽名。

文件名：daemon4120-lite.exe，版本號4.12.00

MD5值：df48777f9e9876f3abacbcd8652d3caa