流氓软件是什么意思
从技术上讲,恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带。
它们既不属于正规商业软件,也不属于真正的病毒;既有一定的实用价值,也会给用户带来种种干扰,大家就称这种软件为流氓软件。
流氓软件包括广告程序、间谍软件、IE插件等,它们严重干扰了正常的网络秩序,使广大网络用户不胜其扰。
这些程序共同的特征是未经用户许可强行潜伏到用户电脑中,而且此类程序无卸载程序,无法正常卸载和删除,强行删除后还会自动生成。
此外,象广告程序会强迫用户接受阅读广告信息,间谍软件搜集用敏感信息并向外发送,严重侵犯了用户的选择权和知情权。
而且近日多个大型网站的讨论区里关于流氓软件的投诉呈急剧上升之势,大家纷纷痛斥这些软件给计算机带来的危害。
有些“流氓软件”甚至会劫持用户的浏览器,使一些网民被引导到了不良网站上,严重影响了互联网的正常秩序。
国家计算机病毒应急中心已表示,他们目前已在检测杀毒软件产品时,加入了检测“间谍软件”“广告程序”这一项。
从法律的层面上来讲,我国刑法第285条、286条对侵入用户计算机、破坏计算机功能的行为进行了明确规定,“流氓软件”的编写和发布将可能触犯国家法律,国家有关部门长期以来对其十分重视,并一直在密切关注事态的发展。
众怒难犯,有关人士也正在呼吁主管部门将此类不良程序列为有害程序,等同于病毒、木马来处理,以便于反病毒厂商早日将这些程序加入杀毒软件病毒库。
不过在这之前流氓软件的行径似乎完全没有收敛,而采取了更加先进的技术手段,与操作系统紧密联系起来,就算是在安全模式下也照样启动不误,让人头痛不已。
典型像3721就很流氓,还有淘宝的插件
遇到流氓软件怎么办?
流氓软件的技术五花八门,任何一项功能都有可能成为流氓技术,就象武器,用好了可以伸张正义,用歪了却成为罪恶的帮凶。
首先我从win32下的一些流氓着数分析开始:1。
我想做为一个流氓软件,首先要做到的是实时运行,譬如在注册表的run下,在boot下增加它的启动。
这应该是比较老的方法,以前 3721好象就是在run下,但是现在一般的人都知道了。
2。
作为流氓软件,已经改变了以前一些木马的特性了,他没必要使自己一定要实时启动了,而是需要自己的时候再启动,譬如说打开一个浏览器窗口,这是一般流氓软件的方法,因为他需要连上网才能有利益可图,所以浏览器肯定是流氓软件必定监控的进程。
3。
使用BHO插件,这种技术早先特别流行,这是微软提供的接口,本意是让IE浏览器可以扩充功能。
每当一个ie浏览器启动的时候,都会调用BHO下必要的插件,流氓软件就是利用这一点。
监控了浏览器所有事件与信息。
4。
还有最笨的办法就是利用进程快照监控进程,判断有它自己所监控的进程启动,就使用atl得到浏览器指针,从而监控浏览器所有事件与信息。
5,还有一种方法就是使用spi,这是我在网上看到的。
spi是分层协议,当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。
从而监控用户信息,而且能实时启动。
6。
hook方法,hook技术可以所应用太广泛了,特别是监控方面。
所以流氓软件也不会错过。
首先应用的是api函数hook,譬如windows核心编程里的apihook类,或者微软的detous都可以完成,两者方法其实相同就是修改IDT函数入口地址。
api hook钩住createprocess 就可以监控进程,比进程快照性能更强,可以钩住spi下的函数可以完成spi下的所有功能。
还有消息hook,鼠标消息,键盘消息,日子消息等等钩子,方法实在太多,都可以利用。
上面列举了一些流氓软件的使用方法,但是流氓软件的一个特性是他无法卸载。
所以它又要使用下面的方法了 因为上面的很多方法都可以删除注册表卸载他们,那怎么办呢,那就会时时监控,它会在它的进程,或者线程里监控注册表项,设置一个循环监控,发现没了就继续安装,增加。
我想这应该是很多流氓软件的技术。
那现在又出现了一个新问题,那就是流氓软件的进程线程要是结束掉怎么办呢???看西面7。
一种方法就是上面的api hook技术,钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确,使用这种方法,用户或者一般的软件就无法结束它的进程了。
8。
还有一种是上面象bho,spi根本没有进程。
一般的用户也无法删除他9。
还有一种方法是远程线程,这个技术用的也很普遍,首先是象api hook一样向目标进程里申请一段内存空间,然后使用自己映射过去,然后使用CreateRemoteThread创建远程线程。
一般很多流氓软件或者以前的一些木马程序,都是把线程注入到系统进程譬如explorer,service等等,使用用户或者一般的杀毒软件很难处理或者结束。
。
10。
注册成服务后,也可以简单的隐藏进程。
还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。
从我上面列举的方法已经差不多可以形成好几款流氓软件了。
但是你别高兴太早,因为这些技术只是应用层的,现在出现了一堆驱动层的反流氓软件工具,譬如超级兔子,完美卸载,木马克星,雅虎助手,还有现在火热的360安全卫士。
这些反流氓软件的方法删除以上流氓软件软件就比较简单。
优先于流氓软件启动,截获所有访问流氓软件文件的irp,然后删除注册表项,删除文件。
轻松的完成了反流氓任务。
为了针对这些反流氓软件,流氓软件出现了内核层的了。
1。
首先是使用文件过滤驱动,保护自己的文件,流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp,从而有效的保护了自己的文件。
2。
内核级hook技术,可hook住所有公开的或者未公开的内核函数,譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3。
驱动层下的流氓软件还使用内核级hook技术,替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表4。
利用内核级hook技术还有隐藏进程,或者监控进程,重起进程。
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。
因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。
删除注册表函数会被替换。
虽然驱动的加载有先后,但是无法保证能完全的删除流氓软件,从而出现了一些更顶级的反流氓软件,他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。
这类流氓软件又能有效的完成了反流氓任务,但是根据我了解,这样的软件不多。
现在火热的360安全卫士都还只是使用了笨办法,优先于驱动流氓软件启动,创建一个驱动流氓软件同设备名的设备,,使流氓驱动创建不成功。
具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面,就是简单的ndis就能优先于360启动。
如果前面的组,那360就束手无策了。
所以对付这类流氓驱动只能用直接发irp到文件系统。
流氓软件又...
安装程序里为什么要加入流氓软件?好多的软件里都加入了流氓软件、...
很多网站为了扩大自己的影响或者是访问率,通过在程序中强制安装流氓软件、恶意插件强制用户自动访问这些网站的服务,或者是暗中收集上网用户的资料,比如说访问网站的倾向、搜索的关键词以便提供更加有针对性的服务或者是将其作为商业资料予以出卖。
淘宝等网站就是通过这样的方式让自己在中文网站里面的排名靠前。
至于为什么要在软件里面加入是因为如果安装成功,那么流氓软件或者是恶意插件的所服务的网站就会支付给软件的开发者费用。
当然很多软件的开发者在软件中安装流氓软件或者是恶意插件也是迫不得已,因为国人还没有形成向开发者支付软件使用费的习惯,他们开发软件多数被免费使用,没有收入软件的开发就难以维系。
先前的深受大家喜爱的暴风影音就是面临这样的问题才不得不在软件中安装流氓软件和恶意插件。
【流氓软件】流氓软件的烦恼问题!!今天电脑2次被强制安装20个流...
1、巧用QQ来卸载顽固程序:将QQ安装目录下的unins000.exe文件拷贝到要卸载文件的安装目录,再执行该程序即可!这种办法对于卸载那些反安装程序丢失或者损坏的文件有特效。
2、winamp的卸载程序可以安全卸载大部分应用程序:首先在“我的电脑”找到Winamp安装目录下的UninstWp.exe程序,复制并粘贴到顽固程序所在的文件夹中,双击运行该程序就可以把顽固程序卸载得干干净净了。
3、运用WinRAR卸载顽固程序:通过其地址栏定位到顽固程序所在文件夹,再点工具栏上的“添加”按纽,此时会弹出“档案文件名字和参数”对话框,在“存档选项”中勾选“存档后删除原文件”点击“确定”,等压缩完成后,WinRAR会自动删除顽固软件文件夹,然后手工将刚生成的压缩包删除,一切搞定。
4、微软反间谍软件完美卸载3721程序:首先下载微软反间谍软件MicrosoftAntiSpywareInstall.exe,界面是英文的,文字相当于高中英语水平,慢慢看能懂,安装后按提示升级最新数据库,执行SCAN,后发现100多个3721,CNS*的东西,选择REMOVE,慢慢的微软反间谍软件清除3721,CNS*的东西,再提示重新启动机器;第一次3721还没清除完,在/PROGRAM FILES/下还有3721目录,先卸载网络实名,右键清除开始--程序菜单中的3721条,再运行微软反间谍软件,扫描后发现多个3721,CNS*的东西,但数量比第一次少多了选择,选择REMOVE,清除3721,CNS*的东西,再重新启动机器,这样就彻底清除3721。
微软反间谍软件下载地址:http://download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe。
5、运用Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序:首先要打开Windows XP安装盘,点“Support Tools”,进入硬盘的Support Tools安装目录(X:\Program Files\Support Tools),找到Msicuu.exe并双击,于是就会弹出一个“Windows Installer Clean Up”窗口,显示当前已安装的所有程序列表。
你从中选择顽固程序,然后单击“Rmove”按钮即可卸载。
如果以上方法无效,建议你用Msizap.exe来卸载,方法是:打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall,在左边项中找到顽固程序的标识(例如),然后依次选择“开始→程序→Windows Support Tools→Command Prompt”命令,命令提示符后,输入以下命令:msizap T ,按回车后即可卸载顽固程序。
6、超级兔子优化王中提供了一个专业卸载功能,可以让你轻松卸载一些常见的顽固软件及IE插件。
首先选择优化王下的“卸载软件”功能,然后切换到“专业卸载”选项卡,此处提供了18种软件的卸载功能。
超级兔子优化王软件会自动对系统进行检测,若装有该程序的话此处便会显示“已安装”,接着选中要卸载的软件,单击“下一步”就可以把这些程序清理干净,将它们彻底赶出系统。
怎么删除流氓软件呢最近我的电脑不知道怎么被强制安装了一个叫"娱...
近日,一些“流氓软件”引起了用户和媒体的强烈关注。
它们往往采用特殊手段频繁弹出广告窗口、危及用户隐私,严重干扰用户的日常工作、数据安全和个人隐私。
这些软件在软件用户中引起了公愤,许多用户指责它们为“彻头彻尾的流氓软件”。
什么是流氓软件?“流氓软件”是介于病毒和正规软件之间的软件。
计算机病毒指的是:自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。
这类程序往往影响计算机使用,并能够自我复制。
正规软件指的是:为方便用户使用计算机工作、娱乐而开发,面向社会公开发布的软件。
“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。
流氓软件的分类根据不同的特征和危害,困扰广大计算机用户的流氓软件主要有如下几类:1、广告软件(Adware)定义:广告软件是指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。
危害:此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。
例如:用户安装了某下载软件后,会一直弹出带有广告内容的窗口,干扰正常使用。
还有一些软件安装后,会在IE浏览器的工具栏位置添加与其功能不相干的广告图标,普通用户很难清除。
2、间谍软件(Spyware)定义:间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
危害:用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。
这些“后门程序”甚至能使用户的电脑被远程操纵,组成庞大的“僵尸网络”,这是目前网络安全的重要隐患之一。
例如:某些软件会获取用户的软硬件配置,并发送出去用于商业目的。
3、浏览器劫持定义:浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。
危害:用户在浏览网站时会被强行安装此类插件,普通用户根本无法将其卸载,被劫持后,用户只要上网就会被强行引导到其指定的网站,严重影响正常上网浏览。
例如:一些不良站点会频繁弹出安装窗口,迫使用户安装某浏览器插件,甚至根本不征求用户意见,利用系统漏洞在后台强制安装到用户电脑中。
这种插件还采用了不规范的软件编写技术(此技术通常被病毒使用)来逃避用户卸载,往往会造成浏览器错误、系统异常重启等。
4、行为记录软件(Track Ware)定义:行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。
危害:危及用户隐私,可能被黑客利用来进行网络诈骗。
例如:一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动。
5、恶意共享软件(malicious shareware)定义:恶意共享软件是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。
危害:使用“试用陷阱”强迫用户进行注册,否则可能会丢失个人资料等数据。
软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。
例如:用户安装某款媒体播放软件后,会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示;并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。
又比如某加密软件,试用期过后所有被加密的资料都会丢失,只有交费购买该软件才能找回丢失的数据。
6、其它随着网络的发展,“流氓软件”的分类也越来越细,一些新种类的流氓软件在不断出现,分类标准必然会随之调整。
流氓软件你无耻的样子,让人恶心!!对于流氓软件大家的恶心程度,...
避开流氓软件是不可能的,除非不上网....当然,你可以使用下面方法可以最大避免流氓软件.先说被强制安装后如何清理吧! 一.使用windows 流氓软件清理大师 ,本人觉得比兔子魔法软件中的清理流氓软件好用的多..当然,同样是兔子的吧..不过还是windows 流氓软件清理大师比较专业些.上次中了病毒一下子被装了十多个流氓软件!!一开始使用兔子魔法中来清理流氓软件..清理后看见是清理完了...然后打开windows 流氓清理大师看见里面还有很多个没有删除..经过一番功夫后基本清理完.卸载流氓软件后,相信有些网友都遇到过电脑无法再上网了.(流氓软件真是可恶.本人也是受害者^_^),接下来就是使用windows 流氓软件清理大师中的超级兔子IE修复专家里面的"强力修复winsock2"来修复不能上网的问题.这样基本可以修复完成.(注:有些比较顽固的流氓软件可以清理几次就能取得很好的效果..执行清理后别忘了重新启动计算机^_^) 二.相信谁都不愿意中招后才执行清理流氓软件..这时就应该对它防范. 1.使用瑞星卡卡上网安全助手.然后执行插件免疫..这样可以很有效的对流氓软件防疫哦.当然.别全部免疫哦.有些还有用的.如windows更新等 2.使用windows xp sp2 以上操作系统.毕竟有阻挡功能.有些不能很有效的阻挡就必须同时配合瑞星卡卡上网安全助手. 3.上网浏览一定要打开杀毒软件和防火墙哦..本人也不习惯使用杀毒软件的.毕竟很吃资源.不过自从中招被迫重装系统后就无时无刻都打开杀毒软件拉. 4.如何避免软件捆绑里的流氓软件.这点本人还没有解决.谁有好的方法提供下,不过建议网友上网下载东西都使用杀毒软件来查查.我家人就是下载了一个1M多的程序然后执行就被同时装了十多个流氓软件了. 这里我给大家一个建议,在下载软件时,尽量到比较正规的网站去下载,安装软件时,别忙着下一步下一步的安装.因为有些还是绑定插件的,但不是强制安装.可以选择安装.所以去勾不要安装就可以了!还有,我想有人去下载软件时,下载后却不是自己想要的程序,却偏偏下载的是流氓软件插件包,大约是1M多大吧..所以下载1M大的程序要密切关注该文件名,因为一般病毒和流氓软件安装程序的文件名都是很长或者凌乱的.当然,不是全部~所以安装软件也要时时打开杀毒软件,密切关注它的安装过程,因为如果下载的是流氓软件安装程序,那么是绑定很多程序的,打开杀毒软件监控注册表,安装时就可以看见什么东西修改注册表,一般有经验的老鸟就能分辨出是否流氓软件,这样安装过程中就可以使用杀毒软件禁止修改.本人就是用这种方法.虽然还是被安装了几个,不过有些给我禁止了,也就不会被装了十多个..呵呵!!目前只有这个方法. 以上就是本人的试过的,目前还没流氓软件光临哦~~本人还在测试中,并有时间会编写更详细的方法给大家尽量避免流氓软件..完成后我会发布在 呵呵.如果有什么不同意见的可以提出来,或者有更好的方法.就可以提出意见来分享分享.如果有谁无法清理的或者有什么问题的,可以联系本人 ! ^_^ (8.22原文已修改)
什么是流氓软件。
什么是流氓软件?流氓软件有那些?流氓软件对电脑...
“流氓软件”简介 什么是流氓软件? “流氓软件”是介于病毒和正规软件之间的软件。
计算机病毒指的是:自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。
这类程序往往影响计算机使用,并能够自我复制。
正规软件指的是:为方便用户使用计算机工作、娱乐而开发,面向社会公开发布的软件。
“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。
流氓软件的分类 根据不同的特征和危害,困扰广大计算机用户的流氓软件主要有如下几类: 1、广告软件(Adware) 定义:广告软件是指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。
危害:此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。
例如:用户安装了某下载软件后,会一直弹出带有广告内容的窗口,干扰正常使用。
还有一些软件安装后,会在IE浏览器的工具栏位置添加与其功能不相干的广告图标,普通用户很难清除。
2、间谍软件(Spyware) 定义:间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
危害:用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。
这些“后门程序”甚至能使用户的电脑被远程操纵,组成庞大的“僵尸网络”,这是目前网络安全的重要隐患之一。
例如:某些软件会获取用户的软硬件配置,并发送出去用于商业目的。
3、浏览器劫持 定义:浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。
危害:用户在浏览网站时会被强行安装此类插件,普通用户根本无法将其卸载,被劫持后,用户只要上网就会被强行引导到其指定的网站,严重影响正常上网浏览。
例如:一些不良站点会频繁弹出安装窗口,迫使用户安装某浏览器插件,甚至根本不征求用户意见,利用系统漏洞在后台强制安装到用户电脑中。
这种插件还采用了不规范的软件编写技术(此技术通常被病毒使用)来逃避用户卸载,往往会造成浏览器错误、系统异常重启等。
4、行为记录软件(Track Ware) 定义:行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。
危害:危及用户隐私,可能被黑客利用来进行网络诈骗。
例如:一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动。
5、恶意共享软件(malicious shareware) 定义:恶意共享软件是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。
危害:使用“试用陷阱”强迫用户进行注册,否则可能会丢失个人资料等数据。
软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。
例如:用户安装某款媒体播放软件后,会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示;并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。
又比如某加密软件,试用期过后所有被加密的资料都会丢失,只有交费购买该软件才能找回丢失的数据。
6、其它 随着网络的发展,“流氓软件”的分类也越来越细,一些新种类的流氓软件在不断出现,分类标准必然会随之调整。
参考文献:
流氓软件有什么好方法清除?现在电脑被安装了很多流氓软件和广告软...
要清除流氓软件,当然也要清理那些病毒和木马软件了 但现在免费的东西太少了 我推荐你用最新的:“360safe安全卫士” 加 ”卡巴斯基“杀毒软件 现在卡巴和360safe搞活动,可以免费升级使用半年 基本上可以搞定你电脑的问题了 360safe安全卫士下载地址是: 卡巴斯基杀毒软件已经包含在360safe这个软件了 所以请下载回来免费使用吧