sptd.sys不是病毒?

   

   很多人遇到过sptd.sys这个东西，该程序作为一个NT内核驱动加载到系统中，而且其服务无法手工停止.它还会Hook SSDT中的若干函数（比如NtOpenKey之类的），更重要的是该文件没有任何版本信息之类的，网上有很多人说它是病毒，也有人说是合法的，总之看上去完全就是一个地道的Rootkit.

    昨天无意打开Icesword ,发现SSDT里面赫然有好几行红字的，第一反应就是中标了，而且元凶就是sptd.sys . 不过我确实想不通它究竟是怎么潜伏进来的，我的系统刚刚重新安装过一两天，我又没上什么“艺术“网站，所以觉得应该是我安装的软件里面夹带的。打开注册表，找到sptd服务在注册表中的项目，居然发现里面有一个字符串型的键值，内容是D:\Alcohol\... ,呵呵，这个目录里面是我安装的Alcohol 120%的程序文件。为了保险，我把 sptd服务的启动文件修改掉，改为一个不存在的文件（原来是C:\windows\system32\drivers\sptd.sys) ,然后马上重启, 等到我再次登陆系统的时候发现Alcohol 120% 已经自杀了,彻底从我的电脑上消失了,甚至连开始菜单里面安装的东西也都没有了.这种行为我这么多年真是第一次遇到.

    

    目前可以断定的是,sptd是跟虚拟光驱有关的文件，而且是随Alcohol一起的。

想到前不久另一个有名的光盘模拟产品Daemon Tool被查出含有Rootkit,难道Alcohol也要跟风吗？尽管sptd也许不是病毒，但这种做法确实是很不对的。希望Alcohol不要步 Daemo 的后尘，否则被用户所抛弃也是迟早的事 情~