流氓软件技术篇:技术角度解析流氓软件( 二 )


销声匿迹-流氓软件的RootKit技术
线程插入对于普通用户来说,或者对于用户的手工清除来说,是很难处理的, 但是这些招数对于杀毒软件来说,是非常简单的,为了能够躲避杀毒软件的追杀,流氓软件的研制者又引入了RootKit技术 。
本来RootKit是LINUX的概念,指能够以透明的方式隐藏于系统,并获得LINUX系统最高权限的一组程序集 。而后来被病毒制作者借鉴,病毒的RootKit技术指的是那些能够绕过操作系统的API调用,直接利用更底层的调用,然后接管系统的高级API调用,当有程序试图查找它们时,便返回假信息,从而得以隐藏自己的技术 。由于目前的杀毒软件都是直接调用系统API来进行病毒扫描的,因此采用这种技术的病毒,都能够轻松躲避杀毒软件的追杀,因为如此,所以目前的流氓软件开始越来越多地采用这种方式来保护自己 。
不过,杀毒软件也开始绕过API调用,通过更加底层的应用,来对抗这种技术 。
借尸还魂-流氓软件的碎片技术
流氓软件之所以要流氓,那是因为巨大的利益,而为了巨大的利益,流氓就变得更流氓 。目前流氓软件大多数还会采用一项流行的技术,那就是碎片技术 。这种技术的思想其实很简单,就是在进入用户系统时,就产生多个或相同,或不同的碎片文件,这些文件除了分布在系统目录、一些盘符的根目录下,它们还会隐藏在其它软件的目录、临时文件夹、甚至回收站里 。
这些文件之间互相保护,一旦一个文件被删除了,另一些碎片就会重新将这个文件恢复 。只要系统中存在有这样的碎片文件,这些碎片文件只要有一个能够激活,在用户连接网络的时候,就能够连通网络进行升级,从而重新还原成一个完整的流氓软件体系,而且一旦升级,这些新升级的流氓软件还会将这些碎片文件删除,然后产生新的碎片文件,从而能够在一定程度上躲过了反病毒软件的查杀 。
有的流氓软件多达数十个碎片文件,这对于手动清除的用户来说,几乎是不可能完成的任务,而即便是杀毒软件也未必能够将数十种碎片文件都一一识别,因此会产生杀不干净的问题,即使是只有一个碎片,流氓软件就有可能通过升级和下载借尸还魂,继续为恶 。
以上便是目前流氓软件用得最多的技术,当然,随着同各种反病毒软件的对抗,它们会采用越来越多的底层技术,有些流氓已经开始采用写固件的方式,通过BIOS来进行传播了 。而随着流氓软件的发展,手工清除越来越不可能,人们将会越来越依赖于专业的流氓软件清除工具 。
流氓软件的8大症状
1.强迫性安装:不经用户许可自动安装,或者是不给出明显提示,欺骗用户安装。
2.无法卸载:不提供正常的卸载程序,或当用户选择卸载时,不真正卸载 。
3.弹出广告窗:在用户上网时,频繁弹出广告窗口,干扰用户正常使用电脑
4.首页修改:浏览器的默认首页,在没有经过用户的同意擅自被修改 。
5.修改浏览器:在菜单栏上添加不需要的按钮,在浏览器的地址栏中添非法内容,自动添加菜单 。
6.资源占用:CPU资源被大量占用,系统变得越来越慢 。
7.使浏览器崩溃:流氓软件由于太信赖于浏览器,因此,经常会出现使浏览器莫名崩溃的情况 。
8.干扰软件:流氓软件为了达到它的常久生存的目的,总是干扰一些如杀毒软件的正常运行,使这些软件出现莫名其妙的错误 。
【流氓软件技术篇:技术角度解析流氓软件】

推荐阅读