网上大部分人都分析过机器狗，并发表了不少关于机器狗运行流程原理的文章，但从来未提到防御机器狗？（今天，认真想了一晚，才明白[可能]，所以写这编文章，想和大家讨论一下，找一下解决的方法）

  我以前也得到过一份旧的机器狗样本，也分析过一下（驱动部分还没能力分析），大致流程：

1. 创建一个服务并启动服务。
2. 从自身释放出一个驱动文件，并加载。
3. 将要过滤（穿透）的文件写入。

  以上都是针对（所有）“还原软件”和硬件。可能因为所有“还原软件”只不过也是利用了 Windows 低层的 API 来实现“文件过滤”，所以，机器狗也同样利用之。

  驱动防火墙的方法没用吗？
    没用！！！网上也没有对付机器狗的软件（不用试也知，所有杀毒软件也没法全识别）。

    还有，我从网上找了一些驱动的代码，做了一个和驱动防火墙相关的驱动（定义了一些网吧环境和游戏加载的驱动，其它的驱动一概阻止加载驱动），但发现，我上面提到的样本可以被我自已做的驱动拦截下来，但今天发现网吧里有一台机还是让机器狗穿透了（还不知为什么？）！！！真不知它如何过的（它不可会终止我做的驱动再加载的），请高手解释下，还有什么方法加载驱动？
  

   我觉得最好的方法是阻止机器狗运行，不能运行就不能加载驱动来穿透了吧？
   但因为有加密、加壳、加花等等，又变成没法分析病毒指令了（如：杀毒软件没法识别病毒和误报）

  难道机器狗的方法能用一世吗？
    只要有所谓的“还原软件”，就有可能？这就是因果吧？

[课程]FART 脱壳王！加量不加价！FART作者讲授！