流氓软件是什么
近日,一些“流氓软件”引起了用户和媒体的强烈关注。
它们往往采用特殊手段频繁弹出广告窗口、危及用户隐私,严重干扰用户的日常工作、数据安全和个人隐私。
这些软件在软件用户中引起了公愤,许多用户指责它们为“彻头彻尾的流氓软件”。
什么是流氓软件?“流氓软件”是介于病毒和正规软件之间的软件。
计算机病毒指的是:自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。
这类程序往往影响计算机使用,并能够自我复制。
正规软件指的是:为方便用户使用计算机工作、娱乐而开发,面向社会公开发布的软件。
“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。
流氓软件的分类根据不同的特征和危害,困扰广大计算机用户的流氓软件主要有如下几类:1、广告软件(Adware)定义:广告软件是指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。
危害:此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。
例如:用户安装了某下载软件后,会一直弹出带有广告内容的窗口,干扰正常使用。
还有一些软件安装后,会在IE浏览器的工具栏位置添加与其功能不相干的广告图标,普通用户很难清除。
2、间谍软件(Spyware)定义:间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
危害:用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。
这些“后门程序”甚至能使用户的电脑被远程操纵,组成庞大的“僵尸网络”,这是目前网络安全的重要隐患之一。
例如:某些软件会获取用户的软硬件配置,并发送出去用于商业目的。
3、浏览器劫持定义:浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。
危害:用户在浏览网站时会被强行安装此类插件,普通用户根本无法将其卸载,被劫持后,用户只要上网就会被强行引导到其指定的网站,严重影响正常上网浏览。
例如:一些不良站点会频繁弹出安装窗口,迫使用户安装某浏览器插件,甚至根本不征求用户意见,利用系统漏洞在后台强制安装到用户电脑中。
这种插件还采用了不规范的软件编写技术(此技术通常被病毒使用)来逃避用户卸载,往往会造成浏览器错误、系统异常重启等。
4、行为记录软件(Track Ware)定义:行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。
危害:危及用户隐私,可能被黑客利用来进行网络诈骗。
例如:一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动。
5、恶意共享软件(malicious shareware)定义:恶意共享软件是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。
危害:使用“试用陷阱”强迫用户进行注册,否则可能会丢失个人资料等数据。
软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。
例如:用户安装某款媒体播放软件后,会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示;并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。
又比如某加密软件,试用期过后所有被加密的资料都会丢失,只有交费购买该软件才能找回丢失的数据。
6、其它随着网络的发展,“流氓软件”的分类也越来越细,一些新种类的流氓软件在不断出现,分类标准必然会随之调整。
流氓软件是什么意思
从技术上讲,恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带。
它们既不属于正规商业软件,也不属于真正的病毒;既有一定的实用价值,也会给用户带来种种干扰,大家就称这种软件为流氓软件。
流氓软件包括广告程序、间谍软件、IE插件等,它们严重干扰了正常的网络秩序,使广大网络用户不胜其扰。
这些程序共同的特征是未经用户许可强行潜伏到用户电脑中,而且此类程序无卸载程序,无法正常卸载和删除,强行删除后还会自动生成。
此外,象广告程序会强迫用户接受阅读广告信息,间谍软件搜集用敏感信息并向外发送,严重侵犯了用户的选择权和知情权。
而且近日多个大型网站的讨论区里关于流氓软件的投诉呈急剧上升之势,大家纷纷痛斥这些软件给计算机带来的危害。
有些“流氓软件”甚至会劫持用户的浏览器,使一些网民被引导到了不良网站上,严重影响了互联网的正常秩序。
国家计算机病毒应急中心已表示,他们目前已在检测杀毒软件产品时,加入了检测“间谍软件”“广告程序”这一项。
从法律的层面上来讲,我国刑法第285条、286条对侵入用户计算机、破坏计算机功能的行为进行了明确规定,“流氓软件”的编写和发布将可能触犯国家法律,国家有关部门长期以来对其十分重视,并一直在密切关注事态的发展。
众怒难犯,有关人士也正在呼吁主管部门将此类不良程序列为有害程序,等同于病毒、木马来处理,以便于反病毒厂商早日将这些程序加入杀毒软件病毒库。
不过在这之前流氓软件的行径似乎完全没有收敛,而采取了更加先进的技术手段,与操作系统紧密联系起来,就算是在安全模式下也照样启动不误,让人头痛不已。
典型像3721就很流氓,还有淘宝的插件
遇到流氓软件怎么办?
流氓软件的技术五花八门,任何一项功能都有可能成为流氓技术,就象武器,用好了可以伸张正义,用歪了却成为罪恶的帮凶。
首先我从win32下的一些流氓着数分析开始:1。
我想做为一个流氓软件,首先要做到的是实时运行,譬如在注册表的run下,在boot下增加它的启动。
这应该是比较老的方法,以前 3721好象就是在run下,但是现在一般的人都知道了。
2。
作为流氓软件,已经改变了以前一些木马的特性了,他没必要使自己一定要实时启动了,而是需要自己的时候再启动,譬如说打开一个浏览器窗口,这是一般流氓软件的方法,因为他需要连上网才能有利益可图,所以浏览器肯定是流氓软件必定监控的进程。
3。
使用BHO插件,这种技术早先特别流行,这是微软提供的接口,本意是让IE浏览器可以扩充功能。
每当一个ie浏览器启动的时候,都会调用BHO下必要的插件,流氓软件就是利用这一点。
监控了浏览器所有事件与信息。
4。
还有最笨的办法就是利用进程快照监控进程,判断有它自己所监控的进程启动,就使用atl得到浏览器指针,从而监控浏览器所有事件与信息。
5,还有一种方法就是使用spi,这是我在网上看到的。
spi是分层协议,当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。
从而监控用户信息,而且能实时启动。
6。
hook方法,hook技术可以所应用太广泛了,特别是监控方面。
所以流氓软件也不会错过。
首先应用的是api函数hook,譬如windows核心编程里的apihook类,或者微软的detous都可以完成,两者方法其实相同就是修改IDT函数入口地址。
api hook钩住createprocess 就可以监控进程,比进程快照性能更强,可以钩住spi下的函数可以完成spi下的所有功能。
还有消息hook,鼠标消息,键盘消息,日子消息等等钩子,方法实在太多,都可以利用。
上面列举了一些流氓软件的使用方法,但是流氓软件的一个特性是他无法卸载。
所以它又要使用下面的方法了 因为上面的很多方法都可以删除注册表卸载他们,那怎么办呢,那就会时时监控,它会在它的进程,或者线程里监控注册表项,设置一个循环监控,发现没了就继续安装,增加。
我想这应该是很多流氓软件的技术。
那现在又出现了一个新问题,那就是流氓软件的进程线程要是结束掉怎么办呢???看西面7。
一种方法就是上面的api hook技术,钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确,使用这种方法,用户或者一般的软件就无法结束它的进程了。
8。
还有一种是上面象bho,spi根本没有进程。
一般的用户也无法删除他9。
还有一种方法是远程线程,这个技术用的也很普遍,首先是象api hook一样向目标进程里申请一段内存空间,然后使用自己映射过去,然后使用CreateRemoteThread创建远程线程。
一般很多流氓软件或者以前的一些木马程序,都是把线程注入到系统进程譬如explorer,service等等,使用用户或者一般的杀毒软件很难处理或者结束。
。
10。
注册成服务后,也可以简单的隐藏进程。
还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。
从我上面列举的方法已经差不多可以形成好几款流氓软件了。
但是你别高兴太早,因为这些技术只是应用层的,现在出现了一堆驱动层的反流氓软件工具,譬如超级兔子,完美卸载,木马克星,雅虎助手,还有现在火热的360安全卫士。
这些反流氓软件的方法删除以上流氓软件软件就比较简单。
优先于流氓软件启动,截获所有访问流氓软件文件的irp,然后删除注册表项,删除文件。
轻松的完成了反流氓任务。
为了针对这些反流氓软件,流氓软件出现了内核层的了。
1。
首先是使用文件过滤驱动,保护自己的文件,流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp,从而有效的保护了自己的文件。
2。
内核级hook技术,可hook住所有公开的或者未公开的内核函数,譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3。
驱动层下的流氓软件还使用内核级hook技术,替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表4。
利用内核级hook技术还有隐藏进程,或者监控进程,重起进程。
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。
因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。
删除注册表函数会被替换。
虽然驱动的加载有先后,但是无法保证能完全的删除流氓软件,从而出现了一些更顶级的反流氓软件,他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。
这类流氓软件又能有效的完成了反流氓任务,但是根据我了解,这样的软件不多。
现在火热的360安全卫士都还只是使用了笨办法,优先于驱动流氓软件启动,创建一个驱动流氓软件同设备名的设备,,使流氓驱动创建不成功。
具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面,就是简单的ndis就能优先于360启动。
如果前面的组,那360就束手无策了。
所以对付这类流氓驱动只能用直接发irp到文件系统。
流氓软件又...
遇到流氓软件应该怎么解决
我也用过招商银行黄金分析软件,这个软件就是跟流氓软件类似,用其安装文件夹中的自卸载文件时,提示没有安装该软件,而明明安装了的.现在我跟我身边的同事都不敢用这个招商银行黄金分析软件,软件设计的有问题,不敢说是后门程序,但是一旦你安装了就别想完全卸载掉,是不是流氓您自己判断,但是再怎么免费我也不用这个招商银行黄金分析软件了.太瞎了,不知道某些银行的管理者是怎么想的,他们嘴上说是帮您买卖黄金理财,我请问:银行自己的财力小吗?银行自己的研究团队没有个人强吗?银行自己真的不知道钱好赚吗?银行难道是活雷锋吗,为您赚钱?银行不知道其中的风险吗?当然,你自己反过来想想就明白了,要记住一句话,千古不变的一句话"有钱最怕同路人","天下没有免费的午餐".什么是看不到的骗子,什么是抢你还说保护你的强盗!
如何删除“如何抢红包”的流氓软件
电脑病毒是什么东西呢?是否会像其他病毒,如“H5N1”、“O-157大肠杆菌”、“HIV”一样对人体造成伤害呢?电脑病毒是会造成伤害,但不是对你造成伤害,而是对你的电脑系统造成一定的伤害。
其实,电脑病毒是一段非常小的(通常只有几KB)会不断自我复制、隐藏和感染其他程序的程序码。
它在我们的电脑里执行,并且导致不同的影响。
它可把电脑里的程序或数据消失或改变。
电脑病毒与其它威胁不同,它可以不需要人们的介入就能由程序或系统传播出去。
“程序码”包含一套不必要的指令,当执行时,它把自己传播到其它的电脑系统、程序里。
首先它把自己拷贝(Copy)在一个没有感染的程序或文件里,当这个程序或文件执行任何指令时,这电脑病毒都会包括在指令里。
根据病毒创造者的动机,这些指令可以做出任何事情,其中包括显示一段信息、删除文件或精细地改变数据,甚至破坏电脑的硬件。
有些情况下,电脑病毒并没有破坏指令的企图,但取而代之就是病毒占据磁盘空间、CPU时间或网络的连接。
电脑病毒----什么是电脑病毒 从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
依据此定义,诸如逻辑炸弹,蠕虫等均可称为计算机病毒。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
”此定义具有法律性、权威性。
自从Internet盛行以来,含有Java和ActiveX技术的网页逐渐被广泛使用,一些别有用心的人于是利用Java和ActiveX的特性来撰写病毒。
以Java病毒为例,Java病毒并不能破坏储存媒介上的资料,但若你使用浏览器来浏览含有Java病毒的网页,Java病毒就可以强迫你的Windows不断的开启新窗口,直到系统资源被耗尽,而你也只有重新启动。
所以在Internet出现后,计算机病毒就应加入只要是对使用者造成不便的程序代码,就可以被归类为计算机病毒。
下面我们谈一谈病毒。
您以前是否听说过电脑病毒?不要一听到病毒就浑身发抖,只要了解了病毒,对付起来还是很容易的。
电脑病毒与我们平时所说的医学上的生物病毒是不一样的,它实际上是一种电脑程序,只不过这种程序比较特殊,它是专门给人们捣乱和搞破坏的,它寄生在其它文件中,而且会不断地自我复制并传染给别的文件,没有一点好作用。
电脑病毒发作了都会有哪些症状呢? 电脑染上病毒后,如果没有发作,是很难觉察到的。
但病毒发作时就很容易感觉出来: 有时电脑的工作会很不正常,有时会莫名其妙的死机,有时会突然重新启动,有时程序会干脆运行不了。
电脑染毒后表现为:工作很不正常,莫名其妙死机,突然重新启动,程序运行不了。
有的病毒发作时满屏幕会下雨,有的屏幕上会出现毛毛虫等,甚至在屏幕上出现对话框,这些病毒发作时通常会破坏文件,是非常危险的,反正只要电脑工作不正常,就有可能是染上了病毒。
病毒所带来的危害更是不言而喻了。
而且,以前人们一直以为,病毒只能破坏软件,对硬件毫无办法,可是CIH病毒打破了这个神话,因为它竟然在某种情况下可以破坏硬件! 电脑病毒和别的程序一样,它也是人编写出来的。
既然病毒也是人编的程序,那就会有办法来对付它。
最重要的是采取各种安全措施预防病毒,不给病毒以可乘之机。
另外,就是使用各种杀毒程序了。
它们可以把病毒杀死,从电脑中清除出去。
常用杀毒程序有:KV300,KILL系列,瑞星,PC CILLIN,NAV,MCAFEE等。
电脑病毒一般可以分成下列各类: 1.引导区电脑病毒 2. 文件型电脑病毒 3. 复合型电脑病毒 4.宏病毒 5. 特洛伊/特洛伊木马 6.蠕虫 其他电脑病毒/恶性程序码的种类和制作技巧 引导区电脑病毒 1.引导区电脑病毒是如此传播:隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。
这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。
那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播,所以这类的电脑病毒已经比较罕见了。
Michelangelo是一种引导区病毒。
它会感染引导区内的磁盘及硬盘内的MBR。
当此电脑病毒常驻内存时,便会感染所有读取中及没有写入保护的磁盘。
除此以外,Michelangelo会于3月6日当天删除受感染电脑内的所有文件。
2.文件型电脑病毒,又称寄生病毒,通常感染执行文件(.EXE),但是也有些会感染其它可执行文件,如DLL,SCR等等...每次执行受感染的文件时,电脑病毒便会发作:电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉。
CIH会感染Windows95/98的.EXE文件,并在每月的26号发作日进行严重破坏。
于每月的26号当日,此电脑病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。
此外,这病毒又会试图破坏FlashBIOS内的资料。
3.宏病毒 与其他电脑病毒类型的分别是宏病毒是攻击数据文件而不是程序文件。
宏病毒专门针对特定...
如何应对电脑里各种流氓软件的骚扰
360还好吧 应该是瑞星和百度被称谓流氓软件的因为卸载不掉我个人比较推荐腾讯电脑管家在免费版腾讯电脑管家的排名第一杀毒的效果结合了小红伞,2合1杀毒并且在电脑诊所有很多常见的问题的处理方法最大的优势也是内存很小,玩游戏开着它不会导致游戏卡这个也是我选择它的一个重要因素我用了1年多没有什么问题。
还可以每天加快QQ的升级,做任务可以兑换实物的礼品。
...