磁盘保护驱动工作在文件过滤系统之下，磁盘过滤驱动（disk.sys）之上，将上层对于磁盘的访问定位到自己的处理过程。

感染了“机器狗”病毒后，最显著的一个特征是，EXE文件图标变为sony的机器狗“阿宝”，因此被称为“机器狗”病毒。“机器狗”病毒运行后，会在“%WinDir%\System32\drivers”目录下释放出一个名为“pcihdd.sys”的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样病毒就破解了还原系统的保护，使硬盘保护卡的还原系统功能失效，从而达到转存病毒的效果。病毒还会感染“userinit.exe”系统文件，会出现登录系统后立即注销的情况。

“机器狗”病毒具备下载者木马的特点，会不断从网上下载数十种新木马，危害十分严重。除此之外，机器狗还有一些特殊的特点：病毒会感染硬盘中所有EXE文件，速度非常快而且不占内存和CPU；木马会利用IPC$弱口令自动进行内网和外网扫描传播。最特殊的是，病毒采用了最新的“ARP挂马”方式，通过ARP欺骗，在所有内网中的电脑访问任意网站时，在网页代码里加上挂马代码，导致内网用户全部感染木马病毒。