正在阅读：武林对决：影子系统 vs 机器狗武林对决：影子系统 vs 机器狗

　　日前，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息，在网吧中泛滥成灾。具体可看相关报导。

　　作为安全软件一员的影子系统，有些网友说自己的影子系统也给攻破了，也有些网友却说没有这一回事。 而最近影子系统又说明了能防御机器狗。那么，曾经被誉为百毒不侵的影子系统到底能不能防范住机器狗病毒呢？带着网友的疑问，笔者做了一个评测-- 机器狗病毒最新版本 vs 影子系统2008。一场江湖恶战悄悄的展开了。

　　第一幕：大网张开

　　旁白：话说"机器狗"大盗带领一众手下，轮番打劫各位上网用户，甚至于练有金钟罩的江湖人士也无法抵挡，一时间民怨四起，而"机器狗"帮众有愈演愈烈的趋势。于是乎官府制定了一个详细的围捕计划。

　　旁白：此次围捕，官府出动的是年轻的捕快，影子系统2008。该捕快虽然涉足江湖的日子尚短，但凭一身百毒不侵的护体神功而震慑江湖。独门绝技分身术，能幻化出一个与真人一模一样的影子分身，并以分身攻击敌人，分身受损不会影响本体。这次用于对付有着杀人于无形的毒君"机器狗"是否能抵抗毒君的独门绝技"夺命针"呢？要知道曾经威震江湖的大侠"冰"也败于夺命针之下。中"夺命针"针者，如果没有独门解药，不出一日必毒发身亡，令江湖众人闻风丧胆。

图1 影子系统

图2 机器狗最新样本

图3 传说中的分身术 :-)

图4 传说中的夺命针 :-)

　　旁白：影子得知机器狗将潜入xp家中犯案，于是张开大网，等待鱼儿上钩。

　　在无毒的环境下，安装System Safety Monitor，以监测系统的进程情况。图3为进入影子系统的单一影子模式下的系统进程详情。图4为未感染机器狗病毒前正常的userinit.exe的md5码

图5 进入单一影子模式

图6 userinit.exe的md5码

　　第二幕：惨烈的围捕

　　旁白：一切准备就绪，影子捕快及其手下正埋伏于xp家宅四周。机器狗果然进入了圈套，中了埋伏，但是穷凶极恶的机器狗凭借着"夺命针"有恃无恐带领着手下企图突围而出。在这惨烈的过程围捕中，影子捕快为救一位同僚，不幸中了"夺命针"，同时也重创了"机器狗"，失去了"机器狗"这个靠山，很快机器狗及其同伙还是被逮捕归案了。

　　旁白：准备就绪，然后运行最新的机器狗病毒样本，使病毒感染系统（危险勿试），为了使病毒能够感染系统，所以System Safety Monitor的拦截操作一律选择的是允许。过了一会儿，病毒已经完全入侵系统了，userinit.exe被改，并自动联网下载了一堆知名不知名的病毒木马文件下来。

图7 userinit.exe被修改

图8 病毒加载关键性驱动文件

图9 进程里一堆机器狗下载的病毒进程

图10 一堆病毒启动文件

　　第三幕：绝技分身护英雄

　　旁白：看着机器狗落入法网，只见中了夺命神的影子捕快在砰的一声中消失了，原来中招的正是影子捕快的拿手绝技"分身术"幻化出来的影子分身。大家都知道不会影子捕快不会有事了，可是为了安全起见，官府还是请来了有妙手回春之誉的赛华佗--妙神医来为影子捕快进行个全身检查，安全第一嘛。

　　系统已经被机器狗及其自动下载的一堆木马病毒全面入侵了，运起重启大法，进入系统的正常模式，来检测一下，影子系统是否被破。首先检测的是系统进程，对比之前的进程图，没有发现有任何新增进程。

图11 正常模式下进程

　　接下来检查 userinit.exe 是否已经被破坏。结果发现仍然是正常的文件。

图12 userinit.exe 属性

图12 启动项目

　　旁白：妙神医仔细的检查了一遍影子捕快的身体，回过头来宣布，影子捕快身体一切正常，没有发现任何中毒现象。顿时围观的群众发出一阵欢呼声，"机器狗"大盗终于败在了影子捕快之手。