软博客

关注电脑技术与商业管理!

上一篇:google搜索引擎优化之链接策略下一篇:特洛伊木马“原理分析

2006-10-7 14:40:52

流氓软件的基本原理与清除方法!

1.浏览器劫持
     现在很多流氓软件都会强制在IE中增加一个工具条,以实现各种功能。例如鼎鼎大名的“雅虎助手”,这种情况就是浏览器劫持。
     浏览器劫持和一般的病毒木马攻击不同,它使用各种技术插件对浏览器进行恶意修改,使自己成为浏览器的一部分,并控制你的浏览器进行他们想要的操作。主要表现为主页被修改,开机弹出广告等。
     那么在浏览器被劫持时我们的杀毒软件在干吗呢?为什么不阻止呢?这是因为浏览器劫持是通过BHO(浏览器辅助对象)技术进入你的电脑的,而这种技术是合法的。BHO原本是为了我们打造个性的IE的技术,可是一旦被某些别有用心的人利用后----
     那我们该如何清除呢?首先,BHO文件一般保存在C:\Windows\Downloaded Program files\文件下,或者作为单独的程序保存在C:\Program files\下。其次,通过文件属性和文件名来判断其是否是流氓软件。最后,用regsvr /u 文件名这个命令来卸载DLL文件,再删除。如果无法删除可以去安全模式下删除或者用Iceword,Unlocker来删除。

2.修改注册表
     注册表是WINDOWS的根基,也流氓软件经常光顾的地方,很容易受到攻击。有时出现删除流氓后重启又复活的情况,所以要注意清理检查以下这些启动项(注册表操作要先备份!!!)
[HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run或RunOnce]
[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或RunOnce或RunServices]
[HKEY-LOCAL-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
如果在这些启动项里出现了保存在系统目录下,并以系统文件命名的启动项,那你可要注意了!如Svchost.exe,C:\Windows\System32\hdhj.exe等。

3.Winsock LSP
     如果清除完流氓软件后出现无法上网的情况,这就可能是Winsock LSP 被破坏了。LSP是指分层服务提供商。就是WINDOWS底层网络Socket通信必须经过的大门。流氓软件把自己写进去后,就可以截取,访问,修改网络数据包并随意添加广告。而且它是不分浏览器类型的,MT,OP,FF等都可以。由于LSP在底层工作,所以要是误删了LSP的DLL文件,就会导致无法上网。

     LSP在注册表的
[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries]项下。系统默认的LSP有TCP/IP组件MSWSOCK.DLL和NTDS组件WINRNR.DLL,它们的项分别是000000000001和000000000002,如果流氓软件要劫持的话,会将自己改为000000000001,而系统的就会被向后推为000000000002等,这样就优先处理恶意LSP拉!但是要注意有些LSP是好的,例如江民杀毒会添加KVWSP.DLL 。
     LSP损坏可以用360这样的软件,如果手边没有软件,就自己动手吧 。首先将被修改的顺序按照TCP/IP为000000000001,NTDS为000000000002,NLA为000000000003。其次修改Num_catalog_Entries键的串数,如果只到000000000003就添3,如果到000000000004就添4。最后重启计算机,删除流氓LSP。

4.驱动劫持
     驱动级的流氓可是非常厉害,“雅虎助手”也用了这个技术 。驱动级流氓通过把自己伪装成普通驱动程序,系统启动时自然会加载驱动程序,这样流氓就实现了自己的启动。由于驱动技术具有强大的隐藏功能,可以轻松的隐藏自己的进程,文件实体,通讯端口等。它也就是常说的Rootkit.
     清除Rootkit病毒就要用ICEWORD。在ICEWORD中,选“查看”标签下的“SSDT”,右侧所有红色标识的都是非系统驱动。但不是所有的非系统驱动都是流氓,Klif.sys就是我们卡巴的驱动,不要误删了啊 。驱动都在系统底层,一般无法删除,而且有的在安全模式下也无法删除,如果强行在DOS下删可能会出现系统故障。所以我们应记住文件名,然后到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]项中找到它的键值并删除。然后重启看看是否还是红色的,如果没有,就表示已经删除,再删除文件就行了。

     流氓软件的原理基本都说完了,大多数流氓软件都是多种方法同时使用,要想清除彻底最好还是用软件。
     当然最好还是预防为主,例如及时为IE打补丁,第三方浏览器一定要禁止ActiveX控件下载。安装软件是注意捆绑插件,去大型知名站点下载如华军,太平洋等。另外可以安装监控软件如WinPatrol或SSM,前者适合菜鸟,后者需要有些电脑知识。

Tags: 安全知识  
发布:软哥 | 分类:创业交流 | 评论:1 | 引用:0 | 浏览:
  • quote 1.calkvhyyn
  • http://www.28shows.com
  • popkrvw

    主题衫系列 1、中国文物纹饰系列文化衫。第一期彩陶文化衫选用10款设计师设计的经典彩陶文物的花纹为图案,并选用上乘纯棉T恤,款全球限量500件。目前已经投入市场销售,供不应求。非限量版和后续充满中国古文化纹饰系列T恤将相继推出。
    2、"Pengpeng猫"系列T恤以猫活动为主题设计,活泼可爱,充满生活情趣。
    个性定制
    一、 企业文化衫定制
    根据客户企业文化及客户要求进行图案创意设计,并加工制作出能反映客户企业文化,达到宣传、馈赠等需求的企业文化衫。28秀曾为诺基亚、金山毒霸、水环境基金会、著名飞机制造商庞巴迪(Bombardier)等企业提供满意的文化衫设计制作服务。
    二、 个人在线定制
    二十八宿借助28秀网www.28shows.com 建设B2C商业模式的电子商务平台,形成设计师、二十八宿和个人用户之间便捷交易的网络平台。并为设计师提供博客、论坛、主题发布、图库等个人创意展示空间并有现实收益的,为直接个人用户提供高效灵敏、功能强大的在线编辑器,及庞大的参考图库,供个人客户方便快捷地在线设计和定制自己风格的服饰。
    二十八秀客服热线欢迎您来电咨询:010-84098689-609


    28秀个性定制网

    网址:http://www.28shows.com
  • 2008-9-26 10:25:17 回复该留言

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。



  • 订阅我的博客:订阅我的博客
  • 通过Google订阅本站
  • 通过鲜果订阅本站
  • 通过抓虾订阅本站
  • 通过bloglines订阅本站
  • 通过飞豆订阅本站

日历

最新评论及回复

最近发表

Powered By Z-Blog 1.8 Spirit Build 80722

Copyright©2006-2008 RuanSe Blog.All rights Reserved.