流氓软件判断及清理流程
2007-08-20 13:08:48 来源:WEB开发网三、扩展查杀
使用通用引擎和特征码都无法进行查杀的恶意软件,360安全卫士还可以使用扩展查杀模块进行有针对性的清除工作。扩展查杀可以针对某个特定的恶意软件进行特殊编码,对于保护很强的rootkit类恶意软件(如my123等)具有非常好的查杀效果。
四、驱动查杀
某些顽固的恶意软件使用驱动对自己的文件、注册表进行了保护,在正常模式下无法对其进行删除。360安全卫士可以在需要时释放驱动进行打击。360安全卫士的驱动程序可以修复被恶意软件篡改的系统内核,并在多个关键点对其文件进行删除。
五、专杀工具
现在有不少的恶意软件针对360安全卫士进行破坏。
对于大规模发作的恶意软件,360安全卫士会以最快的速度对其进行分析并发布相应的专杀工具
六、辅助工具 ( 全面诊断 / 启动项管理 / 系统服务状态 / 进程状态 / 网络连接状态 / 文件粉碎机)
七、举报 / 求助 目前360安全卫士还不支持Vista,所以可能会出现一定的不兼容现象。
360安全卫士查杀实战
案例一:彻底查杀CNNIC中文上网
cnnic使用一个保护驱动,对系统内核进行多处挂钩,主要表现在:
1.文件系统过滤驱动、文件系统驱动Dispatch挂钩、文件系统驱动Inline挂钩,同时文件系统挂钩会阻止一些安全软件如360安全卫士的运行
2.进程结束保护,会保护自身进程不被结束
3.驱动自保护机制,驱动会注册关机消息,在关机时再检查自己驱动的启动及启动位置,强制自我恢复
4.SSDT 钩子,CNNIC驱动挂钩了多处系统服务调用表(SSDT),保护自己的文件、注册表、进程等不受破坏
5.驱动反攻击技术:CNNIC当检测到有试图对自己驱动进行破坏的行为时,会释放出多个随机变名驱动,相互保护
清理方法:使用专杀活文件粉碎机或类似技术,穿透CNNIC的文件系统保护,删除其相关文件
重新启动后,其SSDT挂钩失效,此时删除其注册表及其它文件即可彻底清除
案例二:MY123的清除方法
MY123系列流氓软件通常由一个变名驱动和一个变名DLL文件组成,该类流氓软件有多达上百种变种,但原理基本一致,主要有以下自保护方式:
1.通过自己的BOOT0驱动,在操作系统加载时加载,将自己的文件独占打开,导致任何人都无法访问,即使杀毒软件也无法对其进行扫描和清除
2.通过一个进程监控例程来监控系统,当系统登陆时,将一个runonce项写入注册表,这样起到自己的DLL隐身启动的目的
3.对自己的驱动服务项,会使用NotifyChange,ssdt挂钩,暴力重写等方式,进行保护,防止被破
4.进程监控例程中还会自动对自己的文件进行检测,如果被删除,自动恢复
清除方法:通过文件粉碎机将其驱动文件及DLL文件粉碎,或使用复制句柄的方式复制出被独占的文件句柄然后关闭,并进行文件占坑,最后重启动,并将其他残余项目删除。
更多精彩
赞助商链接