嗄沫
什么软件称为流氓软件?
从技术上讲,恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带。
它们既不属于正规商业软件,也不属于真正的病毒;既有一定的实用价值,也会给用户带来种种干扰,大家就称这种软件为流氓软件。
流氓软件包括广告程序、间谍软件、IE插件等,它们严重干扰了正常的网络秩序,使广大网络用户不胜其扰。
这些程序共同的特征是未经用户许可强行潜伏到用户电脑中,而且此类程序无卸载程序,无法正常卸载和删除,强行删除后还会自动生成。
此外,象广告程序会强迫用户接受阅读广告信息,间谍软件搜集用敏感信息并向外发送,严重侵犯了用户的选择权和知情权。
而且近日多个大型网站的讨论区里关于流氓软件的投诉呈急剧上升之势,大家纷纷痛斥这些软件给计算机带来的危害。
有些“流氓软件”甚至会劫持用户的浏览器,使一些网民被引导到了不良网站上,严重影响了互联网的正常秩序。
国家计算机病毒应急中心已表示,他们目前已在检测杀毒软件产品时,加入了检测“间谍软件”“广告程序”这一项。
从法律的层面上来讲,我国刑法第285条、286条对侵入用户计算机、破坏计算机功能的行为进行了明确规定,“流氓软件”的编写和发布将可能触犯国家法律,国家有关部门长期以来对其十分重视,并一直在密切关注事态的发展。
众怒难犯,有关人士也正在呼吁主管部门将此类不良程序列为有害程序,等同于病毒、木马来处理,以便于反病毒厂商早日将这些程序加入杀毒软件病毒库。
不过在这之前流氓软件的行径似乎完全没有收敛,而采取了更加先进的技术手段,与操作系统紧密联系起来,就算是在安全模式下也照样启动不误,让人头痛不已。
3721就很流氓,还有淘宝的插件
遇到流氓软件怎么办?
流氓软件的技术五花八门,任何一项功能都有可能成为流氓技术,就象武器,用好了可以伸张正义,用歪了却成为罪恶的帮凶。
首先我从win32下的一些流氓着数分析开始:1。
我想做为一个流氓软件,首先要做到的是实时运行,譬如在注册表的run下,在boot下增加它的启动。
这应该是比较老的方法,以前 3721好象就是在run下,但是现在一般的人都知道了。
2。
作为流氓软件,已经改变了以前一些木马的特性了,他没必要使自己一定要实时启动了,而是需要自己的时候再启动,譬如说打开一个浏览器窗口,这是一般流氓软件的方法,因为他需要连上网才能有利益可图,所以浏览器肯定是流氓软件必定监控的进程。
3。
使用BHO插件,这种技术早先特别流行,这是微软提供的接口,本意是让IE浏览器可以扩充功能。
每当一个ie浏览器启动的时候,都会调用BHO下必要的插件,流氓软件就是利用这一点。
监控了浏览器所有事件与信息。
4。
还有最笨的办法就是利用进程快照监控进程,判断有它自己所监控的进程启动,就使用atl得到浏览器指针,从而监控浏览器所有事件与信息。
5,还有一种方法就是使用spi,这是我在网上看到的。
spi是分层协议,当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。
从而监控用户信息,而且能实时启动。
6。
hook方法,hook技术可以所应用太广泛了,特别是监控方面。
所以流氓软件也不会错过。
首先应用的是api函数hook,譬如windows核心编程里的apihook类,或者微软的detous都可以完成,两者方法其实相同就是修改IDT函数入口地址。
api hook钩住createprocess 就可以监控进程,比进程快照性能更强,可以钩住spi下的函数可以完成spi下的所有功能。
还有消息hook,鼠标消息,键盘消息,日子消息等等钩子,方法实在太多,都可以利用。
上面列举了一些流氓软件的使用方法,但是流氓软件的一个特性是他无法卸载。
所以它又要使用下面的方法了 因为上面的很多方法都可以删除注册表卸载他们,那怎么办呢,那就会时时监控,它会在它的进程,或者线程里监控注册表项,设置一个循环监控,发现没了就继续安装,增加。
我想这应该是很多流氓软件的技术。
那现在又出现了一个新问题,那就是流氓软件的进程线程要是结束掉怎么办呢???看西面7。
一种方法就是上面的api hook技术,钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确,使用这种方法,用户或者一般的软件就无法结束它的进程了。
8。
还有一种是上面象bho,spi根本没有进程。
一般的用户也无法删除他9。
还有一种方法是远程线程,这个技术用的也很普遍,首先是象api hook一样向目标进程里申请一段内存空间,然后使用自己映射过去,然后使用CreateRemoteThread创建远程线程。
一般很多流氓软件或者以前的一些木马程序,都是把线程注入到系统进程譬如explorer,service等等,使用用户或者一般的杀毒软件很难处理或者结束。
。
10。
注册成服务后,也可以简单的隐藏进程。
还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。
从我上面列举的方法已经差不多可以形成好几款流氓软件了。
但是你别高兴太早,因为这些技术只是应用层的,现在出现了一堆驱动层的反流氓软件工具,譬如超级兔子,完美卸载,木马克星,雅虎助手,还有现在火热的360安全卫士。
这些反流氓软件的方法删除以上流氓软件软件就比较简单。
优先于流氓软件启动,截获所有访问流氓软件文件的irp,然后删除注册表项,删除文件。
轻松的完成了反流氓任务。
为了针对这些反流氓软件,流氓软件出现了内核层的了。
1。
首先是使用文件过滤驱动,保护自己的文件,流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp,从而有效的保护了自己的文件。
2。
内核级hook技术,可hook住所有公开的或者未公开的内核函数,譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3。
驱动层下的流氓软件还使用内核级hook技术,替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表4。
利用内核级hook技术还有隐藏进程,或者监控进程,重起进程。
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。
因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。
删除注册表函数会被替换。
虽然驱动的加载有先后,但是无法保证能完全的删除流氓软件,从而出现了一些更顶级的反流氓软件,他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。
这类流氓软件又能有效的完成了反流氓任务,但是根据我了解,这样的软件不多。
现在火热的360安全卫士都还只是使用了笨办法,优先于驱动流氓软件启动,创建一个驱动流氓软件同设备名的设备,,使流氓驱动创建不成功。
具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面,就是简单的ndis就能优先于360启动。
如果前面的组,那360就束手无策了。
所以对付这类流氓驱动只能用直接发irp到文件系统。
流氓软件又...
怎么处理流氓软件??
本人最新研究删除桌面图标病毒最佳方法,99.9%好用那是病毒,请仔细看完:首先没有桌面清理的要如下操作:开始--运行--gpedit.msc--确定--组策略--用户配置--管理模板--桌面--双击右窗口【删除桌面清理向导】--未配置(或已禁用)--确定 完事后如果操作:1、建议用360安全卫士进行电脑体检及进行木马云查杀,这样可以防止木马还在,删除了重启又来了。
2、首先在桌面上右击,依次点击排列图标,运行桌面清理向导,下一步,勾选“高清电影、假Internet Explorer图标、淘宝网”这三个需要删除的图标,点下一步,完成。
(注:这样可以查看这三个文件的真实文件名)然后在桌面上会出现一个“未使用的桌面快捷方式”文件夹,打开这个文件夹,里面就会出现“高清电影、假Internet Explorer图标、淘宝网”的真实文件名。
3、点开始/运行,输入regedit回车,进入注册表编辑器,依次展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace在NameSpace分支下可以找到“未使用的桌面快捷方式”中三个文件的名称,我们要删除它们,但是在注册表中右击这些文件名时,无法直接删除,需要更改操作权限才行。
操作如下:在注册表中,右击这些文件名,点权限,选择"组或用户名称"中的everyone 添加完全控制权限,点应用,确定,退出对话框,然后现在注册表中就可以删除这些文件名了,删除之后,在桌面上按F5刷新,高清电影、假Internet Explorer图标、淘宝网”这三个图标是否不见了?大功告成! 如果这样都不行,就是下载“金山急救箱”修复系统了
流氓软件?
(1) 先杀毒,清空临时文件夹然后卸载流氓软件 最后修复ie 使用黄山IE修复专家 解决IE弹出广告窗口等问题! http://www.skycn.com/soft/14441.html反浏览器劫持病毒,超越IE修复极限,立足永久修复的治本之点。
同时具备IE修复、杀QQ病毒、杀各种以服务方式运行的病毒、杀各类木马(无进程木马、插入线程木马)、清除各种间谍广告程序、各种流行病毒及系统救援与日志上报于一身,一套等于多套。
修复易死灰复燃顽固性、古怪性恶意网页所破坏的不能完全彻底修复的IE,专门清除间隔一段时间自动弹出恶意网页、多开几次IE及重起系统后又会被反复篡改的不能从注册表、进程、服务、启动项等清除的、挥之不去、除之不尽的奇怪恶意代码;一次性根除在用户在打开文本文件、可执行文件、浏览器、我的电脑、驱动器等又会死灰复燃的关联性病毒。
在修复时自动为系统建立备份快照,自动创建浏览器劫持日志供用户查看、分析。
特点:集预防、修复、免疫、救援四大功能于一身,无需实时监控,也可实现恶意网站预防及免疫,从而减少系统开销,已免疫过的恶意站点以后将不会被感染。
可以清除用其他杀毒软件在正常模式与安全模式下也无法删除、清除失败的病毒文件。
(以上介绍来自网站介绍) (2) 删除C;/WINDOWS/SYSTEM/LM这个文件夹,包你管用的
