| 軍事用途的“機器狗” Military purposes, "dog" | 《大衆科學》8日報道,波士頓動力公司在美國軍方的支持下研製出一種機器狗,無論是窮鄉僻壤,還是戰火紛飛的城市碎石遍地的小巷,這種機器狗都可以忠心耿耿地跟隨戰士們去執行任務。
這種名叫“大狗”的機器狗可不衹會把飛盤叼回來,它可以替士兵們背負着幾百磅重的工具,即使在火海中跑來跑去也毫不畏懼。據稱,“大狗”是目前世界上最雄心勃勃的四腳
機器人,其穩定性以及方向方位感令人驚嘆,可以處理戰場上許多未知的挑戰。
原型“大狗”的身材類似於大丹犬,每小時可以跑3英裏以上的路程,可以爬45度角的斜坡,在不適於輪式或履帶式車輛前進的地形上,它可以負重120磅急行軍。但“原型狗”衹是一條幼犬,波士頓動力公司的研製人員希望今年夏天就會推出的第二代“大狗”的行軍速度和負重至少增加一倍。
“大狗”的身體是一種鋼架結構,裏面裝有一個圓筒形汽油
發動機,為“大狗”的水壓係統、電腦和慣性測算單元(imu)提供動力。慣性測算單元是機器狗的重要組成部分,它使用光纖激光陀蠃儀和一組加速器跟蹤機器狗的運動和位置。這些裝置與四條腿一起發揮作用,就可以使“大狗”邁出準確的步伐。
機器狗的腿由鋁製成,每條腿上有三個關節,利用水壓刺激器,電腦每秒可以重新將關節配置500次。關節上裝有傳感器,負責測量力量和位置,電腦參照這些數據,結合從慣性測算單元獲得的信息,確定四條腿應該是擡起還是放下,嚮右走還是嚮左走。通過調整關節的水壓液體的流動,電腦可以將每一隻爪子準確地放下。
這種機器狗還有視力:它的頭部裝有一個立體攝像頭和一部激光掃描儀。第一代“大狗”並不能依照這兩種儀器前進,但第二代將利用它們識別前方的地形,發現障礙物。現在的“大狗”需要遙控,但未來版的“大狗”將獲得自由身,不需要人來指導,就可以自行作出决定。專傢預測,在未來八年內,更加強大的自理能力更強的“大狗”隨時可以在戰場上馳騁。 | 計算機病毒“機器狗” Computer Virus "dog" | 機器狗的生前身後,曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社區裏貼出了一個樣本。這個病毒沒有名字,圖標是sony的機器狗阿寶,就像前輩熊貓燒香一樣,大傢給它起了個名字叫機器狗。
工作原理
機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅動,提高自己的優先級接替還原卡或冰點的硬盤驅動,然後訪問指定的網址,這些網址衹要連接就會自動下載大量的病毒與惡意插件。然後修改接管啓動管理器,最可怕的是,會通過內部網絡傳播,一臺中招,能引發整個網絡的電腦全部自動重啓。
重點是,一個病毒,如果以hook方式入侵係統,接替硬盤驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用範圍非常小,衹有還原技術廠商範圍內有傳播,在這方面國際上也衹有中國在用,所以,很可能就是行業內杠。
對於網吧而言,機器狗就是劍指網吧而來,針對所有的還原産品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大殺毒軟件都以能查殺。
免疫補丁之爭
現在的免疫補丁之數是疫苗形式,以無害的樣本復製到drivers下,欺騙病毒以為本身以運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如qq醫生之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。
解决之道
最新的解决方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的權限。雖然這樣能解决,但以後安裝驅動就是一件頭疼的事了。
來徹底清除該病毒,處理後重啓一下電腦就可以了,之前要打上補丁!
或者這樣:
1註册表,組策略中禁止運行userinit.exe 進程
2 在啓動項目中加入批處理
a : 強製結束userinit.exe進程 taskkill /f /im userinit.exe (其中“/im”參數後面為進程的圖像名,這命令衹對xp用戶有效)
b : 強製刪除userinit.exe文件 del /f /a /q %systemroot%system32userinit.exe
c : 創建userinit.exe免疫文件到%systemroot%system32
命令:md %systemroot%system32userinit.exe >nul 2>nul
或者 md %systemroot%system32userinit.exe
attrib +s +r +h +a %systemroot%system32userinit.exe
d : reg add "hklmsoftwaremicrosoftwindows ntcurrentversionimage file execution optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個註册表,並導出,這個批處理才能正常使用。
最新動嚮
好像機器狗的開發以停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為雖着研究的深入,現在防禦的手段都是針對病毒工作原理的,一但機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防禦手段,看來機器狗的爆發衹是在等待,而不是大傢可以高枕了。
目前網上流傳一種叫做機器狗的病毒,此病毒采用hook係統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原産品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染後會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行後會釋放一個名為pcihdd.sys的驅動文件,與原係統中還原軟件驅動進行硬盤控製權的爭奪,並通過替換userinit.exe文件,實現開機啓動。
>> 那麽如何識別是否已中毒呢?
是否中了機器狗的關鍵就在 userinit.exe 文件,該文件在係統目錄的 system32 文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標簽的話,說明已經中了機器狗。如果有版本標簽則正常。
臨時解决辦法:
一是在路由上封ip:
ros腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="df6.0"
add chain=forward content=www.tomwg.com action=reject
二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盤的時候,就加殼並替換。
在%systemroot%system32drivers目錄下 建立個 明字 為 pcihdd.sys 的文件夾 設置屬性為 任何人禁止
批處理
md %systemroot%system32driverspcihdd.sys
cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n
cacls %systemroot%system32userinit.exe /e /p everyone:r
exit
目前,網絡流行以下解决方法,或者可以在緊急情況下救急:
1、首先在係統system32下復製個無毒的userinit.exe,文件名為fuckigm.exe(文件名可以任意取),這就是下面批處理要指嚮執行的文件!也就是開機啓動userinit.exe的替代品!而原來的userinit.exe保留!其實多復製份的目的衹是為了多重保險!可能對防止以後變種起到一定的作用。
2、創建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的註册表鍵值保持一致即可),內容如下:
start fuckigm.exe (呵呵,夠簡單吧?)
3、修改註册表鍵值,將userinit.exe改為userinit.bat。內容如下:
windows registry editor version 5.00
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogon]
"userinit"="c:windowssystem32userinit.bat,"
就這3步,讓這條狗再也兇不起來!這是在windows 2003測試的,雙擊機器狗後,沒什麽反應,對比批處理也是正常,即這狗根本沒改動它!開關機遊戲均無異常!但唯一美中不足的是,采用經典模式開機的啓動時會出現個一閃而過的黑框!
如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接復製下面的這個存為批處理執行就ok了。三步合二為一
@echo off
:::直接復製係統system32下的無毒userinit.exe為fuckigm.exe
cd /d %systemroot%system32
copy /y userinit.exe fuckigm.exe >nul
:::創建userinit.bat
echo @echo off >>userinit.bat
echo start fuckigm.exe >>userinit.bat
:::註册表操作
reg add "hklmsoftwaremicrosoftwindows ntcurrentversionwinlogon" /v userinit / t reg_sz /d "c:windowssystem32userinit.bat," /f >nul
:::刪掉自身(提倡環保)
del /f /q %0
當然,如果實在不行,下載程序killigm。然後直接解壓運行裏面的程序:機器狗免疫補丁.bat 執行就可以了.
網上流傳的另一種新的變種的防止方法 :
開始菜單運行.輸入cmd
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...
可防止最新變種。請註意:此法衹能是防止,對於殺機器狗還得靠最新的殺毒程序纔行。
針對該病毒,反病毒專傢建議廣大用戶及時升級殺毒軟件病毒庫,補齊係統漏洞,上網時確保打開“網頁監控”、“郵件監控”功能;禁用係統的自動播放功能,防止病毒從u盤、mp3、移動硬盤等移動存儲設備進入到計算機;登錄網遊賬號、網絡銀行賬戶時采用軟鍵盤輸入賬號及密碼 | “機器狗”新、老版本病毒特徵 "Dog" new and old versions of virus signatures | 1:新版本“機器狗”病毒采用vc++ 6.0編寫,老版本“機器狗”病毒采用匯編編寫。
2:新版本“機器狗”病毒采用upx加殼,老版本“機器狗”病毒采用未知殼。
3:新版本“機器狗”病毒驅動文件很小(1,536 字節),老版本“機器狗”病毒驅動文件很大(6,768 字節)。
4:新版本“機器狗”病毒安裝驅動後沒有執行卸載刪除操作,老版本“機器狗”病毒安裝驅動工作完畢後會卸載刪除。
5:新版本“機器狗”病毒針對的是係統“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件,老版本“機器狗”病毒衹針對係統“userinit.exe”文件。
6:新版本“機器狗”病毒沒有對註册表進行操作,老版本“機器狗”病毒有對註册表“hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogon”項進行操作(感覺該操作沒必要,因為重新啓動係統後,“還原保護程序”係統會將其還原掉)。
7:新版本“機器狗”病毒去到係統dllcache文件夾下調用真實係統文件運行,老版本“機器狗”病毒沒有到係統dllcache文件夾下調用真實係統文件運行。
8:新版本“機器狗”病毒采用的是控製臺程序圖標,老版本“機器狗”病毒采用的是黑色機器小狗圖案的圖標。
大概列舉出來了上邊的幾點,經過仔細分析它們的工作原理和編碼風格後,可以推測出新版本“機器狗”病毒和老版本“機器狗”病毒决定不是出自一個人之手。 | | 在此要糾正兩個技術性的問題,網絡上流傳的一些關於分析“機器狗”病毒(新、老版本)的部分文章中,有兩處表達錯誤的地方。
第一處是:在那些分析文章中所提到“‘機器狗’病毒會破壞‘還原保護程序’係統,使其還原功能失效”。其實,從概念的理解上來講述,那些表達都是錯誤的,是讓人理解不清晰的,會嚴重誤導讀者。正確的表述應該是這樣的:“‘機器狗’病毒並沒有破壞‘還原保護程序’係統,也沒有使其還原功能失效。衹是安裝了一個病毒自己的磁盤過濾驅動去操作真實的磁盤i/o端口,嚮真實的磁盤中執行修改覆蓋“c:windowsexplorer.exe”目標文件(文件名是病毒作者定義的,不固定、會變。但肯定的是,真實磁盤中是存在該文件的。並且病毒運行後,一般衹會修改覆蓋一個真實磁盤中的係統文件,再不會去破壞其它真實磁盤中的文件)操作。雖然‘機器狗’病毒運行後下載了很多其它惡意程序並安裝運行,但重新啓動計算機後,這些都會被‘還原保護程序’係統還原掉的,衹是唯一那個被修改覆蓋的真實磁盤文件沒有被還原。如果發現重新啓動計算機後,係統中依然有一大堆病毒在運行。其實,這些都是係統重新啓動後,由那個被修改覆蓋後的係統程序全部重新下載回來並安裝運行的惡意程序。也就是說,每次重新啓動計算機,都要重新下載安裝一次所有的其它惡意程序”。
第二處是:在那些分析文章中所提到“‘機器狗’病毒會替換係統中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”或“‘機器狗’病毒會感染係統中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”。其實,從概念的理解上來講述,那些表達都是錯誤的,是讓人理解不清晰的,會嚴重誤導讀者。正確的表述應該是這樣的:“‘機器狗’病毒並不是替換了係統中的那些正常文件,而是針對那些正常文件在硬盤中所存放的真實物理地址進行以覆蓋的方式去寫入相應的惡意數據。大傢可以找來正常的係統文件‘explorer.exe’、被病毒修改覆蓋後的係統文件‘explorer.exe’和病毒釋放出來的惡意程序‘tmp281.tmp’。對比它們內部數據代碼後會發現,被病毒修改後的係統文件‘explorer.exe’的前部分數據代碼和”病毒釋放出來的惡意程序‘tmp281.tmp’文件的數據代碼是完全相同的,而後邊的數據代碼依然是正常係統文件‘explorer.exe’後邊的數據代碼。”。
簡單的概念解釋:
替換:把原目標程序的數據代碼全部清除掉,用新程序的數據代碼來代替以前的整個程序。這樣,替換後的程序衹有新程序的功能。
感染:在不破壞原目標程序數據代碼的前提下,嚮原目標程序的數據代碼中追加上新程序的數據代碼。這樣,感染後的程序既有原目標程序的功能,又有新程序的功能。
覆蓋:從原目標程序數據代碼的文件頭0地址處開始,嚮後依次執行覆蓋寫入新程序的數據代碼操作,我們這裏衹假設原目標程序文件遠遠大於新程序。這樣,覆蓋後的程序衹執行新程序的功能,雖然原目標程序的數據代碼還存在一部分,但由於沒有被調用,所以不會執行。 | | 上邊所指的“還原保護程序”為利用磁盤過濾驅動技術編寫而成的係統還原保護程序,出名一點的軟件有“冰點還原精靈”和“影子係統”等。也就是說,就算用戶計算機安裝了上邊這樣的“還原保護程序”,衹要是中了“機器狗”一類利用穿“還原保護程序”技術的病毒,就算您重新啓動計算機了,但被修改的那個文件“explorer.exe”也是依然不會被還原的,因為病毒的惡意代碼已經覆蓋進了這個真實的磁盤文件中。
目前的“機器狗”一類利用穿“還原保護程序”技術的病毒有一個致命的軟肋,那就是他們所覆蓋的真實係統文件在重新啓動計算機後一定要自啓動運行,不然就失去病毒存在的意義了。現今的“機器狗”病毒都衹是能夠穿透磁盤保護的,並穿透不了註册表(無法在註册表中保存添加或修改後的數據信息),這個就是它最大的缺陷。其實,註册表數據信息也是以文件的形式保存在磁盤中的,下一代“機器狗”病毒可能會實現穿透註册表的功能,等那個時候,可能就很難防範了。這還是不算什麽的,下下一代的“機器狗”病毒可能會利用自己的磁盤過濾驅動去感染真實硬盤下的pe文件,相當的恐怖啊!!
一旦感染了該版本的“機器狗”病毒,它不僅僅可以穿透“還原保護程序”,真實係統也一樣會中毒。因為病毒修改覆蓋了真實的係統文件“c:windowsexplorer.exe”。所以每次重新啓動計算機後,被修改覆蓋的係統程序“c:windowsexplorer.exe”它都會在被感染計算機的後臺連接網絡下載駭客事先定義好的下載列表中的全部惡意程序並自動調用運行。那麽如果中該病毒的用戶比較多,幾萬臺計算機同時啓動,駭客的下載服務器會挂掉嗎?呵呵~!! | “機器狗”問題及回答 "Dog" questions and answers | 問題1:這個最新的機器狗變種,是否與你12月19日發的病毒播報中的機器狗變種是同一個病毒?
回答:不是同一個病毒,衹是工作原理十分的相似而已。經過仔細分析它們的工作原理和編碼風格後,可以推測出新版本“機器狗”病毒和老版本“機器狗”病毒决定不是出自一個人之手。
問題2:這個最新的機器狗變種是否功能更強大?強大在那兒?與以往機器狗病毒的不同之處在哪?
回答:應該是相對的強大了些。對比“機器狗”一類新、老版本病毒的部分特徵如下:
問題3:機器狗病毒對網吧的影響很大,對個人用戶的影響有多少?
回答:個人用戶的影響與網吧的影響是同樣大的。因為不管計算機係統是否安裝“還原保護係統”程序,都會同樣下載非常多的(目前是下載27個惡意程序)網絡遊戲盜號木馬等惡意程序進行安裝運行,從而給被感染計算機用戶帶去一定的損失。如果“用戶計算機硬件配置比較低”或者“存在所下載的多個惡意程序中出現相互不兼容現象”的話,會導致用戶計算機係統崩潰掉無法啓動運行。 | | ·手動殺毒方法
1:結束掉被病毒修改覆蓋後的“c:windowsexplorer.exe”程序進程,刪除該程序文件。
2:也許係統會自動還原回來一個正常的“explorer.exe”桌面程序,如果沒有還原的話,我們可以手動把“c:windowssystem32dllcache”下的“explorer.exe”文件拷貝到“c:windows”下。
3:手動卸載掉病毒惡意驅動程序“phy.sys”文件。可以在註册表中找到病毒惡意驅動程序“phy.sys”的啓動關聯位置然後刪除,接着再刪除掉“c:windowssystem32driversphy.sys”文件。 我實際試過n次這種方法,針對該病毒决定好使。
4:重新啓動計算機後,一切就都會變為正常了。但是該新版的“機器狗”病毒會下載27個(不固定)惡意程序到被感染計算機中安裝運行,這些病毒可以安裝江民公司的kv2008去查殺,效果很不錯。
·超級巡警之機器狗病毒專殺v1.3:
本工具可檢測並查殺機器狗病毒,可穿透機器狗所能穿透的還原係統來修復被感染的文件。本工具還具有免疫的功能,針對已知機器狗變種進行免疫,防止再次感染。另外,可使用命令行方式進行殺毒,便於自動化操作,建議網吧等場所設置為開機自動殺毒,減少重複作業。
下載地址:
http://download.pchome.net/utility/antivirus/trojan/detail-81071l
http://update4.dswlab.com/rodogkiller1.3.zip | | 08機器狗變種一:註入"explorer.exe"進程
explorer.exe機器狗-分析(逆嚮工程)
文章末尾所添加的機器狗、igm、寫穿還原的工具
樣本脫殼
od加載樣本explorer.exe,
對getmodulehandlea下斷,參數為null時即為入口點處對此函數的調用,
退出call之後可以得到入口為 004016ed。
重新加載樣本,對004016ed下內存寫入斷點,中斷後stepover一步,然後在004016ed
下斷點,f9運行到入口,dump。dump之後不關閉od,讓樣本處於挂起狀態,使用importrec修復dump
出來的文件的導入表。
修復之後dump出來的文件用od加載出錯,使用peditor的rebuilder功能重建pe之後即可用od加載,說明
脫殼基本成功,但資源部分仍有問題,無法用reshacker查看
pcihdd.sys的提取
od加載樣本explorer.exe,設置有新模塊加載時中斷,f9運行
當advapi32.dll加載時,對createservicea下斷點,f9運行
當createservicea中斷時,即可提取出pcihdd.sys
pcihdd.sys基本流程如下
1)檢查idt的09(npx segment overrun)和0e(page fault )處理程序的地址
如果09號中斷處理程序存在,並且處理程序地址的高8位與0e處理程序高8位不同,則把
idt中0e的高16位設為0。估計是檢查0e是不是被hook
我比較齷齪,看不懂這些操作的意思,這樣不bsod?請懂的兄弟跟帖告訴一聲
2)通過搜索地址來查找自己的加載地址
查找驅動文件的資源中的1000/1000,並復製到一個全局緩衝區中
3)創建了devicephysicalharddisk0及其符號連接dosdevicesphysicalharddisk0
4)衹對irp_mj_create
irp_mj_close
irp_mj_device_control
作出響應
其中irp_mj_create中會斷開deviceharddisk0dr0上附加的設備。這個操作會使磁盤過濾驅動、文件係統
驅動(os提供的,
但一些殺毒軟件
也通過此渠道進行文件係統監控)及其上的文件係統過濾驅動(大多數文件訪問控製和監控
都是這個層次的)無效
在irp_mj_close 中對恢復dr0上的附加
在irp_mj_device_control中對0xf0003c04作出響應,衹是把2)中找到的資源數據解密後返回到應用程序。
解密密鑰是通過應用程序傳入的一個串(密鑰種子?)查表後産生(key:0x3f702d98)
0xf0003c04的作用:
將用戶態傳入的整個代碼體作為密鑰種子對這個代碼體進行類似於校驗和的運算後得
到4字節的解密key,然後使用此解密key將驅動自身攜帶的資源解密(僅僅是xor),將解密
結果返回給用戶態。
關於解除dr0上的附加設備:
這種操作應該會影響係統正常的文件係統操作,但是因為實際操作時此驅動被打開和關閉的的間隔很短,所以應該
不會有明顯影響。
explorer.exe流程
1、釋放資源中的pcihdd.sys並創建名為pcihdd的服務,啓動服務
2、定位userinit.exe在硬盤中的位置。定位方法如下
1)通過fsctl_get_retrieval_pointers獲取文件數據的分佈信息
2)通過直接訪問硬盤(\.physicalharddisk0)的的mdr和
第一個分區的引導扇區得到分區參數(每簇扇區數),配合1)中得到的信息
來定位文件在硬盤上的絶對偏移量。
這裏有個小bug,扇區大小是使用固定的512字節而不是從引導扇區中獲取
3)通過對比readfile讀取的文件數據和自己定位後直接
讀取所得到的文件數據,確定定位是否正確
3、把整個代碼體作為參數傳遞給pcihdd.sys,控製碼0xf0003c04,並將pcihdd返回
的數據直接寫入userinit.exe的第一簇
被修改後的userinit.exe
1)查詢softwaremicrosoftwindows ntcurrentversionwinlogon下的shell鍵值
2)創建shell進程
3)等待網絡鏈接,當網絡鏈接暢通後,則從http://yu.8s7.net/cert.cer下載列表
4)對於列表中的文件每個文件,創建一個新綫程下載並執行,綫程計數加一(inc)
5)等待所有綫程結束後(綫程計數為0)結束進程。
對於綫程計數的操作並不是原子操作,理論上多cpu情況下有小的概率出問題。
不過人傢是寫針對普通pc的病毒,多cpu不常見,也不需要穩定
文中所指的病毒就是一般說的新av終結者
機器狗:http://www.esfast.net/downs/explorer.rar
igm:http://www.esfast.net/downs/igm.rar
寫穿還原的工具:http://www.esfast.net/downs/sectoreditor.zip
目前防護辦法可以選用新的第三代還原軟件。
08機器狗變種二:註入"spoolsv.exe"進程
0、檢查explorer.exe、spoolsv.exe是否有ntfs.dll模塊,並查找“ssppoooollssvv”字符串(互斥體)
如果發現,則退出。
1、首先啓動一個進程:spoolsv.exe,這是一個打印服務相關的進程。
即便是禁用係統的打印服務,它仍然可以由機器狗啓動。
從任務管理器可以發現,這是一個當前用戶級的權限,很容易區別
2、臨時文件夾和%systemroot%system32drivers釋放ntfs.dll。
並嘗試註入spoolsv.exe。測試時沒有實現。
3、根據病毒體內的加密字符串解密:
10004180=userinit.10004180 (ascii "nb0ddqn55bcyi1jo4jtulzpa2g3ic244")(ecx)
77c178c0 8b01 mov eax, dword ptr ds:[ecx]
77c178c2 ba fffefe7e mov edx, 7efefeff
77c178c7 03d0 add edx, eax
77c178c9 83f0 ff xor eax, ffffffff
77c178cc 33c2 xor eax, edx
77c178ce 83c1 04 add ecx, 4 循環
77c178d1 a9 00010181 test eax, 81010100
每次取雙字節,與7efefeff相加。(edx)
再將雙字節內的數據和ffffffff異或(eax)
然後xor eax, edx
最後解密得:hxxp://a1.av.gs/tick.asp
從這個網站獲得urlabcdown.txt。讀取裏面的內容:
http://down.malasc.cn/plmm.txt
最後下載27盜號木馬,品種還是比較齊的,大話、夢幻、機戰、奇跡、傳奇、qq、qqgame等。
釋放路徑是:%systemroot%system32drivers。
4、加載驅動%systemroot%system32driverspuid.sys:
[hkey_local_machinesystemcurrentcontrolsetservicespuid]
"type"=dword:00000001
"start"=dword:00000003
"errorcontrol"=dword:00000000
"imagepath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,70,00,75,00,69,00,64,00,2e,00,73,
00,79,00,73,00,00,00
"displayname"="puid"
[hkey_local_machinesystemcurrentcontrolsetservicespuidsecurity]
"security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[hkey_local_machinesystemcurrentcontrolsetservicespuidenum]
"0"="rootlegacy_puid�000"
"count"=dword:00000001
"nextinstance"=dword:00000001
並釋放iefjsdfas.txt,裏面記錄一些puid.sys信息。
如果iefjsdfas.txt裏面的內容和實際的不符合,可能判斷為puid.sys是免疫文件夾或無效文件。
這時候它可能會刪除這個文件,再重新加載。
(未證實,我禁止了它的驅動加載)
5、記錄一個進程快照,每隔30秒執行一次。如果發現以下字符串則結束:
antiarp.exe
360tray.exe
360safe.exe
6、另外那個puid.sys可能會修改userinit.exe達到穿透還原的目的。
08機器狗變種三:註入"conime.exe"進程
conime.exe是輸入法編輯器相關程序,早期用來傳播igm病毒,現在也成為機器狗的載體。穿透後,成為一個木馬下載器病毒。
08機器狗變種四:註入"ctfmon.exe"進程
找不到~輸入法被的圖標沒有了,就是文字服務和輸入語言->高級->關閉高級文字服務那裏打勾了~怎麽去也去不掉。
還找到了病毒下載其他病毒木馬的地址列表文件:c:windowssystem32 utility.txt
推薦使用金山毒霸2008(http://www1.duba2008.org.cn)殺毒軟件提供的機器狗專殺工具:http://bbs.duba.net/attachment.php?aid=16065774
及手動修復方法:http://bbs.duba.net/viewthread.php?tid=21843365&highlight= | | 殺毒方法:
刪除以下文件
可以使用icesword,wsyscheck,autoruns等軟件
啓動項目:
註册表
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorershellexecutehooks]
<><c:windowssystem32mfdesy.dll>
<><c:windowssystem32sgrefg.dll>
<><c:windowssystem32zjydcx.dll>
<><c:windowssystem32hhrdxd.dll>
<><c:windowssystem32dhyszj.dll>
<><c:windowssystem32fmcvxy.dll>
<><c:windowssystem32jhfrxz.dll>
<><c:windowssystem32jhrcar.dll>
1、==================================
驅動程序
[msskye / msskye][running/auto start]
<system32driversmsaclue.sys><n/a>
進程裏的項目太多,直接寫在處理方法裏
下載xdelbox
使用方法:
在xdelbox中添加:
c:windowssystem32ijougiemnaw.dll
c:windowssystem32iqnauhc.dll
c:windowssystem323auhad.dll
c:windowssystem32xhtd.dll
c:windowssystem32uohsom.dll
c:windowssystem32uyom.dll
c:windowssystem32gnolnait.dll
c:windowssystem32oadnew.dll
c:windowssystem32auhad.dll
c:windowssystem32hhrdxd.dll
c:windowssystem32hddguard.dll
c:windowssystem32jhrcar.dll
c:windowssystem32jhfrxz.dll
c:windowssystem32fmcvxy.dll
c:windowssystem32dhyszj.dll
c:windowssystem32zjydcx.dll
c:windowssystem32sgrefg.dll
c:windowssystem32mfdesy.dll
c:windowssystem32driversmsaclue.sys
右鍵xdelbox選“立即重啓刪除”
xdelbox會自動重啓刪除以上病毒文件
再次重啓時按f8進入安全模式
用sreng刪除以上有問題的註册表項、驅動
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
最新機器狗現在暫時還沒有解决的辦法! 包括微軟 百分之90%的還原被穿透
1.主病毒(mm.exe)運行後,釋放如下文件:
程序代碼
c:windowssystem32driverspcihdd2.sys
c:windowssystem32lssass.exe
註册服務deepfree update 指嚮c:windowssystem32driverspcihdd2.sys 並加載這個驅動 這個驅動即為機器狗的驅動
之後會替換userinit.exe文件
2.之後mm.exe啓動c:windowssystem32lssass.exe 至此mm.exe(即機器狗)退出 大權交給lssass.exe
3.lssass.exe運行後,釋放如下文件
c:windowssystem32driversati32srv.sys
註册服務ati2hddsrv 指嚮ati32srv.sys 並加載這個驅動 該驅動可以恢復係統的ssdt 使得殺毒軟件的api hook完全失效...很多殺毒軟件的“主動防禦”和“自我保護”功能也因此失效
4.調用cmd.exe把kvtrust.dll,urlguard.dll,antispy.dll,safemon.dll,ieprot.dll重命名為tmp%d.temp的格式
5.結束很多安全軟件進程
程序代碼
avp.com
avp.exe
runiep.exe
pfw.exe
fyfirewall.exe
rfwmain.exe
rfwsrv.exe
kavpf.exe
kpfw32.exe
nod32kui.exe
nod32.exe
navapsvc.exe
navapw32.exe
avconsol.exe
webscanx.exe
npfmntor.exe
vsstat.exe
kpfwsvc.exe
ras.exe
ravmond.exe
mmsk.exe
wopticlean.exe
qqkav.exe
qqdoctor.exe
eghost.exe
360safe.exe
iparmo.exe
adam.exe
icesword.exe
360rpt.exe
360tray.exe
agentsvr.exe
appsvc32.exe
autoruns.exe
avgrssvc.exe
avmonitor.exe
ccenter.exe
ccsvchst.exe
filedsty.exe
ftcleanershell.exe
hijackthis.exe
iparmor.exe
ispwdsvc.exe
kabaload.exe
kascrscn.scr
kasmain.exe
kastask.exe
kavdx.exe
kavpfw.exe
kavsetup.exe
kavstart.exe
kislnchr.exe
kmailmon.exe
kmfilter.exe
kpfw32.exe
kpfw32x.exe
kpfwsvc.exe
kregex.exe
krepair.com
ksloader.exe
kvcenter.kxp
kvdetect.exe
kvfwmcl.exe
kvmonxp.kxp
kvmonxp_1.kxp
kvol.exe
kvolself.exe
kvreport.kxp
kvscan.kxp
kvsrvxp.exe
kvstub.kxp
kvupload.exe
kvwsc.exe
kvxp.kxp
kvxp_1.kxp
kwatch.exe
kwatch9x.exe
kwatchx.exe
magicset.exe
mcconsol.exe
mmqczj.exe
kav32.exe
nod32krn.exe
pfwliveupdate.exe
qhset.exe
ravmond.exe
ravstub.exe
regclean.exe
rfwcfg.exe
rfwmain.exe
rfwsrv.exe
rsagent.exe
rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
smartup.exe
sreng.exe
symlcsvc.exe
syssafe.exe
trojandetector.exe
trojanwall.exe
trojdie.kxp &nb | | | 該病毒大都在網吧等大型的電腦網絡會比較流行,一般在個人電腦不容易中此病毒,現在大多殺毒軟件都可以查殺該病毒。 | | ·手動殺毒方法
1:結束掉被病毒修改覆蓋後的“C:windowsexplorer.exe”程序進程,刪除該程序文件。
2:也許係統會自動還原回來一個正常的“explorer.exe”桌面程序,如果沒有還原的話,我們可以手動把“C:windowssystem32dllcache”下的“explorer.exe”文件拷貝到“C:windows”下。
3:手動卸載掉病毒惡意驅動程序“phy.sys”文件。可以在註册表中找到病毒惡意驅動程序“phy.sys”的啓動關聯位置然後刪除,接着再刪除掉“C:windowssystem32DRIVERSphy.sys”文件。 我實際試過N次這種方法,針對該病毒决定好使。
4:重新啓動計算機後,一切就都會變為正常了。但是該新版的“機器狗”病毒會下載27個(不固定)惡意程序到被感染計算機中安裝運行,這些病毒可以安裝江民公司的KV2008去查殺,效果很不錯。
· 超級巡警之機器狗病毒專殺v1.3:
本工具可檢測並查殺機器狗病毒,可穿透機器狗所能穿透的還原係統來修復被感染的文件。本工具還具有免疫的功能,針對已知機器狗變種進行免疫,防止再次感染。另外,可使用命令行方式進行殺毒,便於自動化操作,建議網吧等場所設置為開機自動殺毒,減少重複作業。
下載地址:
http://download.pchome.net/utility/antivirus/trojan/detail-81071.html
http://update4.dswlab.com/RodogKiller1.3.zip
· 360安全衛士:
目前檢測查殺機器狗病毒最有效的工具,機器狗本身下載的都是木馬和後門攻擊,360安全衛士毫無疑問是最好的查殺木馬防禦木馬的最好軟件。
下載地址:
http://www.360.cn | | 殺毒方法:
刪除以下文件
可以使用icesword,wsyscheck,autoruns等軟件
啓動項目:
註册表
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<><C:WINDOWSsystem32mfdesy.dll>
<><C:WINDOWSsystem32sgrefg.dll>
<><C:WINDOWSsystem32zjydcx.dll>
<><C:WINDOWSsystem32hhrdxd.dll>
<><C:WINDOWSsystem32dhyszj.dll>
<><C:WINDOWSsystem32fmcvxy.dll>
<><C:WINDOWSsystem32jhfrxz.dll>
<><C:WINDOWSsystem32jhrcar.dll>
1、==================================
驅動程序
[msskye / msskye][Running/Auto Start]
<system32DRIVERSmsaclue.sys><N/A>
進程裏的項目太多,直接寫在處理方法裏
下載XDELBOX
使用方法:
在XDELBOX中添加:
C:WINDOWSsystem32ijougiemnaw.dll
C:WINDOWSsystem32iqnauhc.dll
C:WINDOWSsystem32auhad.dll
C:WINDOWSsystem32xhtd.dll
C:WINDOWSsystem32uohsom.dll
C:WINDOWSsystem32uyom.dll
C:WINDOWSsystem32gnolnait.dll
C:WINDOWSsystem32oadnew.dll
C:WINDOWSsystem32auhad.dll
C:WINDOWSsystem32hhrdxd.dll
C:WINDOWSsystem32HDDGuard.dll
C:WINDOWSsystem32jhrcar.dll
C:WINDOWSsystem32jhfrxz.dll
C:WINDOWSsystem32fmcvxy.dll
C:WINDOWSsystem32dhyszj.dll
C:WINDOWSsystem32zjydcx.dll
C:WINDOWSsystem32sgrefg.dll
C:WINDOWSsystem32mfdesy.dll
C:WINDOWSsystem32DRIVERSmsaclue.sys
右鍵XDELBOX選“立即重啓刪除”
XDELBOX會自動重啓刪除以上病毒文件
再次重啓時按F8進入安全模式
用SREng刪除以上有問題的註册表項、驅動
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------
最新機器狗 現在暫時還沒有解决的辦法! 包括微軟 百分之90%的還原被穿透
1.主病毒(mm.exe)運行後,釋放如下文件:
程序代碼
C:WINDOWSsystem32driverspcihdd2.sys
C:WINDOWSsystem32lssass.exe
註册服務DeepFree Update 指嚮C:WINDOWSsystem32driverspcihdd2.sys 並加載這個驅動 這個驅動即為機器狗的驅動
之後會替換userinit.exe文件
2.之後mm.exe啓動C:WINDOWSsystem32lssass.exe 至此mm.exe(即機器狗)退出 大權交給lssass.exe
3.lssass.exe運行後,釋放如下文件
C:WINDOWSsystem32driversati32srv.sys
註册服務ATI2HDDSRV 指嚮ati32srv.sys 並加載這個驅動 該驅動可以恢復係統的SSDT 使得殺毒軟件的API hook完全失效...很多殺毒軟件的“主動防禦”和“自我保護”功能也因此失效
4.調用cmd.exe把KvTrust.dll,UrlGuard.dll,antispy.dll,safemon.dll,ieprot.dll重命名為tmp%d.temp的格式
5.結束很多安全軟件進程
程序代碼
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
Ras.exe
RavMonD.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
KAV32.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
procexp.exe
OllyDBG.EXE
OllyICE.EXE
rfwstub.exe
RegTool.exe
rfwProxy.exe
6.映像劫持幾乎上面所有安全軟件指嚮“ntsd -d”
7.啓動IE進行下載工作,首先會讀取ht tp://xtx.×××.info/images/xin.txt比較
裏面的VERSION信息 如果發現不是最新版本 則下載最新版本 具有自我更新功能
8.之後繼續讀取下面的下載信息 下載木馬
目前下載的病毒地址為
程序代碼
ht tp://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exeht tp://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe
病毒木馬植入完畢後的sreng日志如下(本例中均假設係統裝在C盤下)
啓動項目
註册表
程序代碼
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<WSockDrv32><C:WINDOWSdqyxis.exe> []
<upxdnd><C:WINDOWSupxdnd.exe> []
<LotusHlp><C:WINDOWSLotusHlp.exe> []
<C:WINDOWSPTSShell.exe> []
<SHAProc><C:WINDOWSSHAProc.exe> []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
<kfzmwcnyi><kfzmwcnyi.exe> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<><C:WINDOWSsystem32JAA-JAA-1032.dll> []
<><C:WINDOWSsystem32RAA_RAA_1002.dll> []
<><C:WINDOWSFontsgjcsdyc.dll> []
<><C:WINDOWSsystem32QAB_QAB_1011.dll> []
<><C:WINDOWSsystem32IIA-IIA-1030.dll> []
==================================
驅動程序
程序代碼
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<??C:WINDOWSsystem32driversati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<??C:WINDOWSsystem32driverspcihdd2.sys><N/A>
[msskye / msskye][Running/Auto Start]
<system32driversmsaclue.sys><N/A>
==================================
正在運行的進程
程序代碼
[PID: 1452][C:WINDOWSsystem32userinit.exe] [N/A, ]
[C:WINDOWSsystem32HDDGuard.dll] [N/A, ]
[PID: 1472][C:windowsexplorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:WINDOWSsystem32JAA-JAA-1032.dll] [N/A, ]
[C:WINDOWSsystem32RAA_RAA_1002.dll] [N/A, ]
[C:WINDOWSFontsgjcsdyc.dll] [N/A, ]
[C:WINDOWSsystem32QAB_QAB_1011.dll] [N/A, ]
[C:WINDOWSsystem32IIA-IIA-1030.dll] [N/A, ]
[C:WINDOWSwlqirtuk.dll] [N/A, ]
[C:WINDOWSdcadmqws.dll] [N/A, ]
[C:WINDOWSsystem32upxdnd.dll] [N/A, ]
[C:WINDOWSsystem32WSockDrv32.dll] [N/A, ]
[C:WINDOWSsystem32LotusHlp.dll] [N/A, ]
[C:WINDOWSsystem32PTSShell.dll] [N/A, ]
[C:WINDOWSsystem32SHAProc.dll] [N/A, ]
[C:WINDOWSsystem32HDDGuard.dll] [N/A, ]
...
補充:netguy_updatefile.exe 在啓動項裏添加netguy_updatefile.exe程序,開機下病毒
機器狗木馬病毒介紹:
機器狗木馬病毒是用一個C語言編寫的木馬病毒。病毒運行後會刪除係統目錄下的userinit.exe,並建立一個包含病毒的userinit.exe,隨係統每次啓動時加載到係統中。此文件運行後會在係統的SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下添加一
係列反病毒軟件和安全工具的鍵值,使這些軟件和工具無法正常運行。另外病毒還會嘗試註入IE進程通過互聯網下載病毒的更新,達到躲避查殺與偵測的目的。
機器狗病毒的判斷方法:
方法1:打開C:WINDOWSsystem32文件夾 (或打開係統對應目錄),找到userinit.exe、explorer.exe點擊右鍵查看文件的屬性,若在屬性窗口中看不到文件的版本標簽則說明該文件已經被病毒替換係統已經染毒。
方法2:雙擊瑞星殺毒軟件的快捷方式,以及卡卡上網安全助手的快捷方式,沒有任何反應(不是窗口打開後迅速關閉或報錯崩潰)。 | | 版本:V5.2版 大小:720KB
立即下載機器狗專殺
中毒癥狀:
如果360無法打開或者打開之後被關閉,係統變的非常慢,係統時間莫名其妙被更改."我的電腦"的圖標不正確,輸入法無法打開,說明可能中了機器狗。
如果打開C:WINDOWSsystem32文件夾(如果您的係統不在c盤安裝,請找到對應的目錄),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,點擊右鍵查看屬性,如果在屬性窗口中看不到文件的版本標簽的話,說明已經中了機器狗。
機器狗木馬病毒簡介:
機器狗,是一種病毒下載器,它可以給用戶的電腦下載大量的木馬、病毒、惡意軟件、插件等。一旦中招,用戶的電腦便隨時可能感染任何木馬、病毒,這些木馬病毒會瘋狂地盜用用戶的隱私資料(如帳號密碼、私密文件等),也會破壞操作係統,使用戶的機器無法正常運行,它還可以通過內部網絡傳播、下載U盤病毒和Arp攻擊病毒,能引發整個網絡的電腦全部自動重啓。對於網吧而言,機器狗就是劍指網吧而來,針對所有的還原産品設計,其破壞力可能會很快會超過熊貓燒香。
機器狗工作原理:
機器狗工作原理:機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅動,提高自己的優先級接替還原卡或冰點的硬盤驅動,然後訪問指定的網址,這些網址衹要連接就會自動下載大量的病毒與惡意插件。
變形金剛:機器狗(ravage)
動畫片和真人版電影中都是由聲波身上分解出來的霸天虎。
優點:體型小,適合與偵察活動。
缺點:由於體型原因,攻擊力並不強。
變形:磁帶
《真人版變形金剛》機器狗
由聲波派去竊取“巢穴”基地裏的火種源碎片,並找到其他霸天虎去喚醒死去的威震天。
真人版電影機器狗:
從物理上根本解决機器狗病毒.
通過殺毒軟件的方法防禦機器狗病毒,可以說是治標不治本的.因為殺軟升級,病毒也會升級,因此需要無休止的打補丁,對於
多電腦的計算機機房來說,無疑的帶來了巨大的工作量.因此通過純硬件的方式來解决機器狗病毒,是最根本的,從物理上解决機器狗病毒的方法.邏輯與物理的區別就在與此.藍芯防毒卡的研發成功,對解决機器狗病毒,可以說是起到的巨大貢獻,突破了原有的傳統的保護卡技術,通過最基本的底層入手,硬盤數據綫直接連到卡上,直接接管硬盤,讓受到保護的分區的數據免受各種已知的病毒(包括機器狗病毒)或未知病毒的侵擾。
機器狗病毒也是一種軟件而已,而我們是硬盤物理上的最後一道門,所以,不論病毒技術如何改進,要破壞數據都不得不通過這最後一道門。而這道門又在我們的掌握中,所以,未知的病毒衹要還是軟件就無法破壞。 | | | 社區 | 機器人 | 母嬰 | 寵物犬 | pnp | 無盤 | 網吧 | 有盤 | | 病毒 | 木馬 | 軟件 | |
| | | 機器狗病毒 | 機器狗木馬 | 機器狗變種 | | 機器狗蠕蟲 | 軍事用途的機器狗 | 計算機病毒機器狗 | | 機器狗問題及回答 | MIDI機器狗 | “機器狗”問題及回答 | | 計算機病毒“機器狗” | 軍事用途的“機器狗” | “機器狗”變種 | | 從物理上根本解决機器狗病毒 | |
|
|
|