火眼金精 从技术角度浅析流氓软件
2007-09-12 13:09:19 来源:WEB开发网核心提示:早期,流氓软件在没有被正式定性为恶意程序时,火眼金精 从技术角度浅析流氓软件,流氓软件使用的技术比较简单,往往是修改主页,这样,用户如果采用的是默认系统设置,使用户只要一登陆浏览器,就自动跳转到流氓软件提供的广告网址
早期,流氓软件在没有被正式定性为恶意程序时,流氓软件使用的技术比较简单,往往是修改主页,使用户只要一登陆浏览器,就自动跳转到流氓软件提供的广告网址,或者安装到系统中后,私下收集用户的信息发送出去。而后来,随着利益的驱动和流氓软件正式作为恶意程序被反病毒厂商绞杀,流氓软件采用的技术也越来越先进,如今已经形成了与杀毒软件对抗的态势,魔道之争真正进入白热化。
了解了它们使用的技术,会对它们有一个更加清晰的认识,以下便是流氓软件使用的经典技术。
秘密潜入-流氓软件的隐藏技术
隐藏是流氓软件的天性,也是病毒的一个特征,任何流氓软件都希望在用户的电脑中隐藏起来不被发现,由于隐藏的目的,衍生出隐藏的技术。
首先是隐藏窗口。我们知道,在Windows操作系统下,所有的程序执行时都是以窗口的形式出现的,每个窗口都有不同的属性,流氓软件的目的就是不想为人所知,因此它们在运行的过程会将自己的程序窗口的属性设为“不可见”,这样用户就看不到程序的窗口了。
但是,我们知道,每个程序运行时虽然用户看到的是窗口,但是对于系统来说,其实是执行了一个进程,对于稍微专业的用户来说,虽然窗口不能看见,但是程序产生的进程却是很容易通过系统的任务管理器看到,从而使流氓软件暴露。因此便出现了隐藏进程技术。
隐藏进程其实是调用了微软的一个未公开函数,将流氓软件本身注册为服务,这样系统的任务管理器就无法显示这类程序的进程了,从而达到了隐藏自己的目的。
于一些细心的用户来说,电脑出现了新的文件会引起他们的怀疑,因此流氓软件作者又采用了隐藏文件技术。它们在安装时会将自身拷贝到系统目录,然后将文件的属性设置为隐藏,这样,用户如果采用的是默认系统设置,则就无法看到他们。
更多精彩
赞助商链接