做自己的救世主－－系统安全保卫战

核心提示： 一般的进程工具是运行在Ring 3级别的，它们读取的依据来自Ring 0层，做自己的救世主－－系统安全保卫战(10)，这些数据是可以被运行于Ring 0级别的木马修改的，所以它们根本无法得知木马程序信息，突然发现浏览器多了一堆这个条那个霸的，想要卸载时却发现所谓的卸载程序只是个把用户当小孩

一般的进程工具是运行在Ring 3级别的，它们读取的依据来自Ring 0层，这些数据是可以被运行于Ring 0级别的木马修改的，所以它们根本无法得知木马程序信息，而IceSword等检测工具不同，它们和Ring 0木马一样，也是通过驱动的模式进入Ring 0层工作的，不再需要从Ring 0层获取信息，所以它们能得到未被木马篡改的原始链表数据，例如最原始的进程信息，它是不能被更改的，如果木马把它自身从原始进程信息里删除，就意味着它要自我终结了。所以一旦有进程工具从 Ring 0层直接读取了原始数据，再把这个数据和Ring 3层获取到的进程列表比较一下，就能迅速发现哪个是拼命隐藏自身的木马程序了。很巧合的是，驱动程序和系统服务共享同一个加载入口，即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices，只要查找相应的Ring 0木马文件名，就会发现它，删除掉注册表的加载数据后重新启动计算机，再删除掉木马文件就可以解决了。

5.清理不受欢迎的附属产品
　　“21世纪什么最贵？人才！”
　　——《天下无贼》

黎叔说的这句话固然无可厚非，只是他大概不知道，在21世纪的网络上，网民最恨的就是一部分利用歪点子制造“广告软件”（Adware）和“流氓/间谍软件”（Spyware）的“人才”。如今的网络已经被这些不受欢迎的软件使用捆绑战术给占领了，随便下载个共享工具，有点良心的会在安装界面里默认打上“安装附属产品”的勾，更多的则是一口气给你把所有附属工具都装上了，许多用户在安装了一些共享软件后，突然发现浏览器多了一堆这个条那个霸的，想要卸载时却发现所谓的卸载程序只是个把用户当小孩来哄的界面！可以说，这些恶意软件才是当今网络最令人厌恶的东西，“流氓软件猛于后门也”！