该Rootkit病毒近期多次被Trojan.PSW.Win32.GameOnline型的病毒释放使用，在该病毒体内可以看到“C:\new-gamehack\GameHack\Driver\bin\i386\mssock.pdb”的字样，从编译路径可以看出该Rootkit显然是作者特意为盗取游戏密码病毒所写。

　　1、该病毒驱动程序入口函数执行如下操作：

　　(1) 检查系统是否存在USB键盘设备：病毒首先通过调用ObReferenceObjectByName函数得到\Driver\hidusb的驱动对象，然后遍历该驱动对象创建的功能设备的设备链。对设备链上的每个设备对象，遍历其所在的设备栈，对设备栈上的每个设备对象，通过 DEVICE_OBJECT->DriverObject->DriverName获取每个设备的驱动名称，比较是否是Driver\kbdhid，如果找到表示有USB键盘设备，得到USB键盘设备对象的指针。

　　(2)对键盘设备挂接过滤驱动：建立名称为“\Device\mssock”、符号链接名为“\??\mssock”、类型为“FILE_DEVICE_UNKNOWN”的设备，然后通过调用函数IoAttachDeviceToDeviceStack将该设备挂接到键盘设备所在的设备栈。

　　对于USB键盘设备，挂接的目标设备为通过前面搜索得到的USB设备对象。对于没有USB键盘设备的情况，通过调用IoGetDeviceObjectPointer获取名称为“\Device\KeyboardClass0”的PS/2 键盘设备作为目标设备。

　　(3)填写功能函数地址：填充卸载例程及各个IRP处理例程回调。

　　2、病毒的IRP_MJ_READ处理例程：设置完成例程后直接调用IofCallDriver向下一设备传递IRP

　　3、病毒驱动设立的对键盘读的irp包的完成例程：在该完成例程中，病毒驱动实现了获取并记录键盘按键的功能。病毒将读到的按键记录到缓冲区(通过DEVICE_OBJECT.DeviceExtension传递地址)。同时病毒作者在这里和IRP_MJ_DEVICE_CONTROL例程中通过写0x60端口发送命令控制键盘NumLock灯的开闭，可能是作者为了调试时能够方便的知道其过滤驱动的工作情况。

　　4、病毒驱动的IRP_MJ_DEVICE_CONTROL处理例程：在这个处理例程中，病毒对值为“0x 80102180”和“80102184”的IOCTL进行了处理。对于IOCTL = 0x 80102180 , 进行初始化处理，如清空记录缓冲区、计数器等。对于IOCTL = 0x 80102180 ,病毒将把在缓冲区中记录的按键扫描码返回给调用者。使用这个rootkit的程序可以调用DeviceIoContro函数进行控制和读取按键记录。

　　5、卸载例程：

　　调用IoDetachDevice摘除过滤设备

　　调用IoDeleteSymbolicLink删除符号链接

　　检查是否有IRP未完成且IRP有效则调用IoCancelIrp尝试取消这个IRP，如果取消IRP失败则等待直到有下一次IRP然后取消。

　　调用IoDeleteDevice删除设备。

　　由于该驱动在卸载例程中安全地删除了过滤设备并尝试取消未完成的IRP，所以该Rootkit可以被安全地卸载。不过一般的病毒作者很少会给用户留下安全的卸载例程，所以怀疑该Rootkit是作者从网上抄来的代码，作者有可能甚至不了解该驱动真正的工作原理。

　　安全建议：

　　1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

　　2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

　　3 不浏览不良网站，不随意下载安装可疑插件。

　　4 不接收QQ、MSN、Emial等传来的可疑文件。

　　5 上网时打开杀毒软件实时监控功能。

　　6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。