最重要的是,“机器狗”病毒是目前对还原软件、还原卡破坏能力最强的病毒。“机器狗”目前可以破坏冰点还原、影子系统等还原软件,还能破坏三茗、小哨兵等硬件还原卡。被破坏的还原卡会失去作用,让系统彻底暴露在病毒下。
“机器狗”怎么突破还原卡
病人:谢谢医生的解答,我现在对这个“机器狗”病毒有点了解了,可我还想知道它是怎么破解还原卡的?
医生:“机器狗”的运作流程并不复杂,比起熊猫烧香、AV终结者来说要简单不少。运行后首先会替换系统的Userinit.exe文件,Userinit.exe是Windows操作系统的一个关键进程,用于管理不同的启动顺序,例如用于建立网络链接和Windows壳的启动。病毒利用Userinit.exe的目的是实现隐蔽启动。
接着在Windows\system32\drivers文件夹中生成一个名为Pcihdd.sys的驱动文件,病毒正是借助这个驱动文件来实现还原软件和还原卡破解的。我们知道还原软件和还原卡之所以能够保护硬盘数据,是因为它具有很高的权限,能够夺取硬盘的控制权,在系统启动之前,将硬盘中的数据还原。
而Pcihdd.sys这个文件会和还原软件或还原卡抢夺硬盘的控制权,大部分还原软件和还原卡的控制权都会被Pcihdd.sys夺取,它们就失去了还原数据的能力,这样病毒就可以避开还原卡在硬盘中安营扎寨了。
彻底清除“机器狗”病毒
病人:“机器狗”果然是一个难缠的病毒,尤其是像我这样的网吧管理员,刚解决了烦人的“熊猫烧香”,现在来了个更狠的,真是不胜其烦。请问我该如何清除“机器狗”病毒?