流氓软件及反流氓软件的技术分析2
来源:互联网 发布:wince导航软件下载 编辑:程序博客网 时间:2024/05/17 04:17
这些反流氓软件的方法删除以上流氓软件软件就比较简单。优先于流氓软件启动,截获所有访问流氓软件文件的irp,然后删除注册表项,删除文件。轻松的完成了反流氓任务。
为了针对这些反流氓软件,流氓软件出现了内核层的了。
1。首先是使用文件过滤驱动,保护自己的文件,流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp,从而有效的保护了自己的文件。
2。内核级hook技术,可hook住所有公开的或者未公开的内核函数,譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3。驱动层下的流氓软件还使用内核级hook技术,替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表
4。利用内核级hook技术还有隐藏进程,或者监控进程,重起进程。
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。因为同是驱动程序相互拦截irp等于大家都无法操作,反流氓软件工具的删除irp会被拦截,或者删除函数会被替换。删除注册表函数会被替换。虽然驱动的加载有先后,但是无法保证能完全的删除流氓软件,从而出现了一些更顶级的反流氓软件,他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。这类流氓软件又能有效的完成了反流氓任务,但是根据我了解,这样的软件不多。现在火热的360安全卫士都还只是使用了笨办法,优先于驱动流氓软件启动,创建一个驱动流氓软件同设备名的设备,,使流氓驱动创建不成功。具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面,就是简单的ndis就能优先于360启动。如果前面的组,那360就束手无策了。所以对付这类流氓驱动只能用直接发irp到文件系统。
流氓软件又怎么来防止直接发irp到文件系统的反流氓软件呢?rootkit,我看很多对于rootkit有误解,很多都认为hook也是rootkit.呵呵,rootkit说白了就是嵌入操作系统文件。你不是发irp到文件系统吗?,可是我把文件系统给改了,不过rootkit根据我的观察unix或者linex下比较多,在windows下还是比较少的,因为需要使用汇编了,哎太晚了,不写了,我想如果流氓软件做到这个技术程度,它也没必要做流氓了,直接做操作系统得了。
- 流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析2
- 上周技术关注:流氓软件及反流氓软件的技术分析
- 流氓软件及反流氓软件的技术分析1
- 流氓软件及反流氓软件的技术分析(转自驱动开发网)
- 流氓软件的技术
- 流氓软件的技术
- 流氓软件分析
- 流氓软件?```````````
- 技术角度解析流氓软件
- 技术角度解析流氓软件
- 上周学习内容大放送(周五)
- 简介Java 标准日志工具 Log4j 的使用
- 想要过一辈子的情侣一定要看,一定要做到哦,一篇日志写出了心声…
- 业务顾问学ABAP一年多的感受
- Android Http
- 流氓软件及反流氓软件的技术分析2
- [收藏]C/C++数组名与指针区别
- jdk1.4,jdk1.5和jdk1.6的区别
- Android3.1和3.2及google_api下载使用说明
- BSONObjBuilder.obj()与BSONObjBuilder.done()的区别
- OpenCV2.2.0配置 Visual Stdio 2010
- swing 模仿QQ登录界面
- 天龙八部 - 跑商如何计算是否满票
- 平滑替换IndexReader