查看: 8385|回复: 16
收起左侧

流氓软件的基本原理与一般清除方法!!!

[复制链接]
wangjay1980
发表于 2007-1-8 12:41:10 | 显示全部楼层 |阅读模式
1.浏览器劫持
   现在很多流氓软件都会强制在IE中增加一个工具条,以实现各种功能。例如鼎鼎大名的“雅虎助手”,这种情况就是浏览器劫持。
   浏览器劫持和一般的病毒木马攻击不同,它使用各种技术插件对浏览器进行恶意修改,使自己成为浏览器的一部分,并控制你的浏览器进行他们想要的操作。主要表现为主页被修改,开机弹出广告等。
   那么在浏览器被劫持时我们的杀毒软件在干吗呢?为什么不阻止呢?这是因为浏览器劫持是通过BHO(浏览器辅助对象)技术进入你的电脑的,而这种技术是合法的。BHO原本是为了我们打造个性的IE的技术,可是一旦被某些别有用心的人利用后----
   那我们该如何清除呢?首先,BHO文件一般保存在C:\Windows\Downloaded Program files\文件下,或者作为单独的程序保存在C:\Program files\下。其次,通过文件属性和文件名来判断其是否是流氓软件。最后,用regsvr /u 文件名这个命令来卸载DLL文件,再删除。如果无法删除可以去安全模式下删除或者用Iceword,Unlocker来删除。

2.修改注册表
   注册表是WINDOWS的根基,也流氓软件经常光顾的地方,很容易受到攻击。有时出现删除流氓后重启又复活的情况,所以要注意清理检查以下这些启动项(注册表操作要先备份!!!)

[HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run或RunOnce]

[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或RunOnce或RunServices]

[HKEY-LOCAL-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

如果在这些启动项里出现了保存在系统目录下,并以系统文件命名的启动项,那你可要注意了!如Svchost.exe,C:\Windows\System32\hdhj.exe等。

3.Winsock LSP

   如果清除完流氓软件后出现无法上网的情况,这就可能是Winsock LSP 被破坏了。LSP是指分层服务提供商。就是WINDOWS底层网络Socket通信必须经过的大门。流氓软件把自己写进去后,就可以截取,访问,修改网络数据包并随意添加广告。而且它是不分浏览器类型的,MT,OP,FF等都可以。由于LSP在底层工作,所以要是误删了LSP的DLL文件,就会导致无法上网。

   LSP在注册表的
[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries]

项下。系统默认的LSP有TCP/IP组件MSWSOCK.DLL和NTDS组件WINRNR.DLL,它们的项分别是000000000001和000000000002,如果流氓软件要劫持的话,会将自己改为000000000001,而系统的就会被向后推为000000000002等,这样就优先处理恶意LSP拉!但是要注意有些LSP是好的,例如江民杀毒会添加KVWSP.DLL 。
   LSP损坏可以用360这样的软件,如果手边没有软件,就自己动手吧 。首先将被修改的顺序按照TCP/IP为000000000001,NTDS为000000000002,NLA为000000000003。其次修改Num_catalog_Entries键的串数,如果只到000000000003就添3,如果到000000000004就添4。最后重启计算机,删除流氓LSP。

4.驱动劫持
   驱动级的流氓可是非常厉害,“雅虎助手”也用了这个技术 。驱动级流氓通过把自己伪装成普通驱动程序,系统启动时自然会加载驱动程序,这样流氓就实现了自己的启动。由于驱动技术具有强大的隐藏功能,可以轻松的隐藏自己的进程,文件实体,通讯端口等。它也就是常说的Rootkit.
   清除Rootkit病毒就要用ICEWORD。在ICEWORD中,选“查看”标签下的“SSDT”,右侧所有红色标识的都是非系统驱动。但不是所有的非系统驱动都是流氓,Klif.sys就是我们卡巴的驱动,不要误删了啊 。驱动都在系统底层,一般无法删除,而且有的在安全模式下也无法删除,如果强行在DOS下删可能会出现系统故障。所以我们应记住文件名,然后到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]项中找到它的键值并删除。然后重启看看是否还是红色的,如果没有,就表示已经删除,再删除文件就行了。

   流氓软件的原理基本都说完了,大多数流氓软件都是多种方法同时使用,要想清除彻底最好还是用软件。
   当然最好还是预防为主,例如及时为IE打补丁,第三方浏览器一定要禁止ActiveX控件下载。安装软件是注意捆绑插件,去大型知名站点下载如华军,太平洋等。另外可以安装监控软件如WinPatrol或SSM,前者适合菜鸟,后者需要有些电脑知识。


       终于写完拉 [:14:] 累!!!
            回帖是美德啊!!!(不足请指正

排版了一下,感谢您的经验分享。

[ 本帖最后由 ALEXBLAIR 于 2007-1-8 18:24 编辑 ]
Oo聚裔軒oO俊
发表于 2007-1-8 13:15:18 | 显示全部楼层
昨天才被流氓整掺了~~~~
现在知道怎么对付它们了~~~
Davai_Za
发表于 2007-1-8 16:45:31 | 显示全部楼层
謝謝了  學到些知識!
yilan3168
发表于 2007-2-3 19:40:33 | 显示全部楼层

评分

参与人数 1经验 -1 收起 理由
Oceanzd -1 纯表情回复

查看全部评分

scvrobin
发表于 2007-2-5 00:25:38 | 显示全部楼层
颇有所得,谢谢指教啊!
lidw1983
发表于 2007-3-7 13:15:28 | 显示全部楼层
谢谢楼主
东哥小白龙
头像被屏蔽
发表于 2007-3-12 13:30:21 | 显示全部楼层

谢谢

我的QQ是396916954  信箱xiangdong108@163.com可以交流
aa0205
发表于 2007-3-12 20:42:24 | 显示全部楼层
不错,学到很多东西啊!!!
17haha
发表于 2007-3-12 21:35:38 | 显示全部楼层
谢谢了哈
deadend1984
发表于 2007-3-25 10:49:07 | 显示全部楼层
学到了不少东西
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:02 , Processed in 0.133765 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表