【IT168 专稿】尽管MM的主机，安有最新版的杀毒软件，可是在“谈虎色变”的病毒身上，丝毫没有起到什么作用，它们依然像“牛皮癣”一样久治不愈。于是在没有任何好办法的情况下，重装了系统，不过这次MM学尖了，又安装了一个还原软件，不怕你杀毒软件成“摆设”。但是意想不到的事情发生了，居然有几个病毒在还原后依旧存在。

    小提示：还原卡是一种系统安全产品，它可以使电脑在遭到破坏时，将系统还原到初始的健康状态。这种破坏包括无意的删除系统文件，有意的破解以及各种病毒和木马的攻击。所以，还原卡常常在网吧和学校这些系统容易被破坏的地方使用。

    一、了解“机器狗”病毒的破坏机制
    根据以上所描述的症状，很有可能是最近比较流行的“机器狗”病毒所为，此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权后，并修改用户初始化文件userinit.exe来实现隐藏自身的目的。另外它还是一个典型的网络架构木马型病毒，当该病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的账号信息。目前该病毒不仅可以破坏，例如冰点还原、影子系统等软件形式的还原系统，其殊不知就连三茗、小哨兵等硬件还原卡，也可以轻松突破让其失去作用。

    二、“机器狗”病毒是如何突破还原系统的安全防线
    从以上大家已经了解“机器狗”病毒的威力，想必对于其病毒如何突破还原卡防线，不少读者一定会有很大的兴趣。其实“机器狗”病毒运行流程很简单，要比之前大家遭遇过的熊猫烧香、AV终结者等病毒简单的多。该病毒在潜伏到系统后，就像笔者刚才说过的那样，会替换系统里的userinit.exe文件，该文件位置位于c:\windows\system32\userinit.exe，它管理着系统不同的启动顺序，黑客可利用其功能实现隐藏启动病毒的目的。

    然后在c:\windows\system32\drivers目录下，建立一个名为Pcihdd.sys的驱动文件，来和还原卡争夺硬盘控制权。如果不出意外，一般情况下其权利都会落到该文件手里，从而使其还原卡失去恢复能力，达到破解成功的目的，这样病毒就可以在该机器内安营扎寨。