流氓软件判断及清理流程

核心提示： 三、扩展查杀使用通用引擎和特征码都无法进行查杀的恶意软件，360安全卫士还可以使用扩展查杀模块进行有针对性的清除工作，流氓软件判断及清理流程(3)，扩展查杀可以针对某个特定的恶意软件进行特殊编码，对于保护很强的rootkit类恶意软件(如my123等)具有非常好的查杀效果，并进行文件占坑，

三、扩展查杀

使用通用引擎和特征码都无法进行查杀的恶意软件，360安全卫士还可以使用扩展查杀模块进行有针对性的清除工作。扩展查杀可以针对某个特定的恶意软件进行特殊编码，对于保护很强的rootkit类恶意软件(如my123等)具有非常好的查杀效果。

四、驱动查杀

某些顽固的恶意软件使用驱动对自己的文件、注册表进行了保护，在正常模式下无法对其进行删除。360安全卫士可以在需要时释放驱动进行打击。360安全卫士的驱动程序可以修复被恶意软件篡改的系统内核，并在多个关键点对其文件进行删除。

五、专杀工具

现在有不少的恶意软件针对360安全卫士进行破坏。

对于大规模发作的恶意软件，360安全卫士会以最快的速度对其进行分析并发布相应的专杀工具

六、辅助工具 ( 全面诊断 / 启动项管理 / 系统服务状态 / 进程状态 / 网络连接状态 / 文件粉碎机)

七、举报 / 求助 目前360安全卫士还不支持Vista，所以可能会出现一定的不兼容现象。

360安全卫士查杀实战

案例一：彻底查杀CNNIC中文上网

cnnic使用一个保护驱动，对系统内核进行多处挂钩，主要表现在：

1.文件系统过滤驱动、文件系统驱动Dispatch挂钩、文件系统驱动Inline挂钩，同时文件系统挂钩会阻止一些安全软件如360安全卫士的运行

2.进程结束保护，会保护自身进程不被结束

3.驱动自保护机制，驱动会注册关机消息，在关机时再检查自己驱动的启动及启动位置，强制自我恢复

4.SSDT 钩子，CNNIC驱动挂钩了多处系统服务调用表(SSDT)，保护自己的文件、注册表、进程等不受破坏

5.驱动反攻击技术:CNNIC当检测到有试图对自己驱动进行破坏的行为时，会释放出多个随机变名驱动，相互保护

清理方法:使用专杀活文件粉碎机或类似技术，穿透CNNIC的文件系统保护，删除其相关文件

重新启动后，其SSDT挂钩失效，此时删除其注册表及其它文件即可彻底清除

案例二：MY123的清除方法

MY123系列流氓软件通常由一个变名驱动和一个变名DLL文件组成，该类流氓软件有多达上百种变种，但原理基本一致，主要有以下自保护方式:

1.通过自己的BOOT0驱动，在操作系统加载时加载，将自己的文件独占打开,导致任何人都无法访问，即使杀毒软件也无法对其进行扫描和清除

2.通过一个进程监控例程来监控系统，当系统登陆时，将一个runonce项写入注册表,这样起到自己的DLL隐身启动的目的

3.对自己的驱动服务项，会使用NotifyChange，ssdt挂钩，暴力重写等方式，进行保护，防止被破

4.进程监控例程中还会自动对自己的文件进行检测，如果被删除，自动恢复

清除方法:通过文件粉碎机将其驱动文件及DLL文件粉碎，或使用复制句柄的方式复制出被独占的文件句柄然后关闭，并进行文件占坑，最后重启动，并将其他残余项目删除。