机器狗的发展和原理(一,二)

第三类狗：

此种狗是否出现我不太清楚，不过他的原理是可行的。此原理的发现者就是大名在外的“猪头三”，原理简单得不能再简单。直接通过ATA pass写入当前磁盘。而还原99%只处理了读写，而ATA PASS 是不通过读写的。所以，防不了。

第四类狗：

此狗出现，当时严重威胁了易速用户安全。即在启动项中增加一个文件的狗。此狗最大特别是集成了第二类虚拟盘，第三类狗的找漏洞（当然并不是这一个漏洞）。他会加载一个驱动，此驱动会自己构建SCSI命令的IRP，直接发给真实的磁盘设备。而磁盘设备上的驱动，一般不会处理这个SCSI命令，会直接转发给下层，这时，他就跳过了还原。可以直接读写。此狗的难度在于SCSI命令。


第五类狗：
当狗发展到这里时，我以为基本结束了，最多找到一些未知BUG而已。不过，后来的发展出乎意料。这时有人利用HOOK技术中的一个关键技术。查找比disk.sys更下层的驱动，通过直接发送SCSI命令达到穿透。此类就是：5月1号的变种。