返回列表 回復 發帖

多種惡意軟體安裝卸載實戰(

惡意軟體或者叫流氓軟體,一個線民見之就火大的詞,因為在看到這個詞線民隨即聯想到的是卑鄙,無恥,充滿敵意。關於這個不多說,只介紹兩個詞:Hook和BHO。
  這篇文章主要從技術上說明其危害性,並且通過大量實驗來證明中國線民電腦的“亞健康”狀態值得所有人關注,更重要的是提供了完整刪除這些軟體的方法,非常適合流氓纏身的初級線民閱讀。

  HOOK

  中文意思就是“鉤子”的意思。這種函數是Windows消息處理機制的一部分,通過設置“鉤子”,應用程式可以在系統級對所有消息、事件進行過濾,訪問在正常情況下無法訪問的消息。當然,這麼做也是需要付出一定的代價的。由於多了這麼一道處理過程,系統性能會受到一定的影響,所以大家在必要的時候才使用“鉤子”,並在使用完畢及時將其刪除。用到HOOK的程式有:WINDOWS介面修改程式、視窗鎖、網吧管理軟體,當然,常見的少不了木馬等程式。

  BHO

  有時,你可能需要一個定制版本的流覽器。在這種情況下,你可以自由地把一些新穎但又不標準的特徵增加到一個流覽器上。結果,你最終有的只是一個新但不標準的流覽器。Web流覽器控件只是流覽器的分析引擎。這意味著仍然存在若干的與用戶介面相關的工作等待你做——增加一個地址欄,工具欄,歷史記錄,狀態欄,頻道欄和收藏夾等。如此,要產生一個定制的流覽器,你可以進行兩種類型的編程——一種象微軟把Web流覽器控件轉變成一個功能齊全的流覽器如Internet Explorer。一種是在現有的基礎上加一些新的功能。如果有一個直接的方法定制現有的Internet Explorer該多好?BHO(Browser Helper Objects,筆者譯為“流覽器幫助者對象”,以下皆簡稱BHO)正是用來實現此目的的。

  BHO對象依託於流覽器主窗口。實際上,這意味著一旦一個流覽器窗口產生,一個新的BHO對象實例就要生成。任何BHO對象與流覽器實例的生命週期是一致的。BHO僅存在於Internet Explorer 4.0及以後版本中。如果你在使用microsoft Windows 98、 Windows 2000、 Windows 95 or Windows NT版本4.0操作系統的話,也就一塊運行了活動桌面外殼4.71,BHO也被Windows資源管理器所支持。 BHO是一個COM進程內服務,註冊於註冊表中某一鍵下。在啟動時,Internet Explorer查詢那個鍵並把該鍵下的所有對象預以加載。

  安裝惡意軟體和卸載實錄

  機器配置

  cpu P4 2.66G

  記憶體512*2

  主板Asus P5VD1-x

  顯卡6600

  安裝惡意軟體總數

  本次安裝軟體的總數約有27種,用約這個詞,因為對這個數字不確定,實在不知道什麼時候又中了招中招。包括了目前網上共用、免費軟體中捆綁的各種軟體以及各個網站開發的IE工具條等等。



  圖1 筆者準備的軟體

  安裝過程中這些軟體99.9%都選擇C盤為他們的最佳棲息地,而且有80%以上都將安裝過程精簡到了極致,兩步甚至一步後,這個軟體就已經在你的系統中駐紮下來了,在這其中唯有“酷客娛樂平臺”選擇了D盤為他的老巢。



  圖2 酷客娛樂平臺安裝在了D盤

使用

  在安裝了近一半的惡意軟體後,機器運行速度明顯變得遲緩,開個IE主頁也需40秒,透過任務管理器筆者們可以看到已經有的惡意軟體開始進入進程了。



  圖3 安裝後IE流覽器比較“壯觀”



  圖4 安裝後IE流覽器比較“壯觀”(二)



  圖5 安裝後IE流覽器比較“壯觀”(三)



 

圖6 任務管理器中的進程也比較壯觀



  圖7 相當壯觀的資源佔用情況



安裝了80%了的惡意軟體後,機器運行速度進一步減慢,在Google的工具欄中鍵入了一個關鍵字後按回車,這個頁面立即出現假死現象,約5分鐘後,搜索結果頁面才出現,右鍵菜單也充斥了這些本著“為用戶著想”的軟體的快捷菜單。



  圖8 “體貼”的IE右鍵菜單

  終於,IE扛不住,倒下了(圖9)。



  圖9 IE不堪重負而倒下

  這是開機後的畫面,筆者關掉了自帶的殺毒軟體,任這些惡意軟體肆意的蹂躪筆者的電腦。(圖10)



  圖10 流氓開始耍賴了

卸載過程



  圖11 卸載前的情況
返回列表