开发学院网络安全安全技术 流氓软件判断及清理流程 阅读

流氓软件判断及清理流程

 2007-08-20 13:08:48 来源:WEB开发网   
核心提示: 三、扩展查杀使用通用引擎和特征码都无法进行查杀的恶意软件,360安全卫士还可以使用扩展查杀模块进行有针对性的清除工作,流氓软件判断及清理流程(3),扩展查杀可以针对某个特定的恶意软件进行特殊编码,对于保护很强的rootkit类恶意软件(如my123等)具有非常好的查杀效果,并进行文件占坑,

三、扩展查杀

使用通用引擎和特征码都无法进行查杀的恶意软件,360安全卫士还可以使用扩展查杀模块进行有针对性的清除工作。扩展查杀可以针对某个特定的恶意软件进行特殊编码,对于保护很强的rootkit类恶意软件(如my123等)具有非常好的查杀效果。

四、驱动查杀

某些顽固的恶意软件使用驱动对自己的文件、注册表进行了保护,在正常模式下无法对其进行删除。360安全卫士可以在需要时释放驱动进行打击。360安全卫士的驱动程序可以修复被恶意软件篡改的系统内核,并在多个关键点对其文件进行删除。

五、专杀工具

现在有不少的恶意软件针对360安全卫士进行破坏。

对于大规模发作的恶意软件,360安全卫士会以最快的速度对其进行分析并发布相应的专杀工具

六、辅助工具 ( 全面诊断 / 启动项管理 / 系统服务状态 / 进程状态 / 网络连接状态 / 文件粉碎机)

七、举报 / 求助 目前360安全卫士还不支持Vista,所以可能会出现一定的不兼容现象。

360安全卫士查杀实战

案例一:彻底查杀CNNIC中文上网

cnnic使用一个保护驱动,对系统内核进行多处挂钩,主要表现在:

1.文件系统过滤驱动、文件系统驱动Dispatch挂钩、文件系统驱动Inline挂钩,同时文件系统挂钩会阻止一些安全软件如360安全卫士的运行

2.进程结束保护,会保护自身进程不被结束

3.驱动自保护机制,驱动会注册关机消息,在关机时再检查自己驱动的启动及启动位置,强制自我恢复

4.SSDT 钩子,CNNIC驱动挂钩了多处系统服务调用表(SSDT),保护自己的文件、注册表、进程等不受破坏

5.驱动反攻击技术:CNNIC当检测到有试图对自己驱动进行破坏的行为时,会释放出多个随机变名驱动,相互保护

清理方法:使用专杀活文件粉碎机或类似技术,穿透CNNIC的文件系统保护,删除其相关文件

重新启动后,其SSDT挂钩失效,此时删除其注册表及其它文件即可彻底清除

案例二:MY123的清除方法

MY123系列流氓软件通常由一个变名驱动和一个变名DLL文件组成,该类流氓软件有多达上百种变种,但原理基本一致,主要有以下自保护方式:

1.通过自己的BOOT0驱动,在操作系统加载时加载,将自己的文件独占打开,导致任何人都无法访问,即使杀毒软件也无法对其进行扫描和清除

2.通过一个进程监控例程来监控系统,当系统登陆时,将一个runonce项写入注册表,这样起到自己的DLL隐身启动的目的

3.对自己的驱动服务项,会使用NotifyChange,ssdt挂钩,暴力重写等方式,进行保护,防止被破

4.进程监控例程中还会自动对自己的文件进行检测,如果被删除,自动恢复

清除方法:通过文件粉碎机将其驱动文件及DLL文件粉碎,或使用复制句柄的方式复制出被独占的文件句柄然后关闭,并进行文件占坑,最后重启动,并将其他残余项目删除。

上一页  1 2 3 

Tags:流氓 软件 判断

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接