隨著各種反流氓軟件工具的推出,全民反“流氓”已進(jìn)入了實(shí)質(zhì)性的階段,然而,在強(qiáng)大的利益驅(qū)動(dòng)下,流氓軟件的始作俑者們根本不甘于就此謝幕,病毒底層技術(shù)在流氓軟件中的應(yīng)用、流氓軟件技術(shù)的升級(jí)、流氓手段的高明讓反流氓軟件廠商面臨很大的挑戰(zhàn)。正所謂“魔高一尺,道高一丈”,無論流氓軟件手法多么高明,也逃脫不過金山的法眼。金山毒霸的工程師們針對(duì)流氓軟件難以清除干凈的問題提出了一個(gè)十分有效的解決方案——文件粉碎技術(shù),即繞過可能被劫持的Windows 系統(tǒng)調(diào)用,直接刪除磁盤上的惡意軟件,避實(shí)擊虛,直搗要害,一舉破解了這個(gè)困擾流氓軟件清理行業(yè)的大難題。
Rootkits 保護(hù)下的流氓軟件
目前的流氓軟件廣泛采用了Rootkits 技術(shù)來保護(hù)自身,企圖逃避用戶的清理操作。所謂的Rootkits,最初是來源于Unix 系統(tǒng)下的黑客們的一種說法,指的是一類特殊的技術(shù)手段。他們使用一些程序技術(shù)劫持系統(tǒng)的底層調(diào)用,來保護(hù)自身植入的一些黑客程序不被系統(tǒng)管理員發(fā)現(xiàn)和清除掉。后來,這類技術(shù)開始被廣泛的應(yīng)用到了Windows 操作系統(tǒng)當(dāng)中,被許多木馬和流氓軟件當(dāng)成了保護(hù)自己為非作歹的護(hù)身符。
流氓軟件使用到的Rootkits技術(shù)多種多樣,難以完全破除,特別是一些采用底層驅(qū)動(dòng)技術(shù)的流氓軟件,通過劫持系統(tǒng)底層調(diào)用,可以成功阻止對(duì)其核心文件的刪除操作。甚至許多流氓軟件在Windows安全模式下也使用了許多保護(hù)技術(shù),即使進(jìn)入Windows安全模式都無法成功清除,面對(duì)這一現(xiàn)狀,包括目前受到用戶廣泛推崇的Unlocker,IceSword等刪除工具,都開始顯示出力不從心的現(xiàn)象。
使用Rootkits 技術(shù)的流氓軟件之所以難以徹底清除,究其原因在于:傳統(tǒng)的流氓軟件刪除技術(shù)都是基于Windows 本身的功能完成的,這也正是最標(biāo)準(zhǔn)、通用的文件操作方式。然而,當(dāng)流氓軟件的Rootkits 技術(shù)劫持了Windows系統(tǒng)的時(shí)候,原來的刪除技術(shù)賴以成功的基礎(chǔ)便不復(fù)存在了,所以流氓軟件可以瞞天過海,輕易的攔截住對(duì)系統(tǒng)提出的刪除他們的要求。
最近,金山毒霸的工程師們對(duì)這個(gè)問題提出了一個(gè)十分有效的解決方案。即繞過可能被劫持的Windows 系統(tǒng)調(diào)用,直接刪除磁盤上的流氓軟件,避實(shí)擊虛,直搗要害,一舉破解了這個(gè)困擾流氓軟件清理行業(yè)的大難題。
直擊要害的頑固文件粉碎技術(shù)
金山系統(tǒng)清理專家新采用的文件粉碎技術(shù),采取繞過系統(tǒng)調(diào)用,直接讀寫文件系統(tǒng)的方式,直接清除磁盤文件。這樣,即使惡意軟件采用Rootkits技術(shù)劫持系統(tǒng)底層調(diào)用,也無法阻止系統(tǒng)清理專家直接刪除它們的文件。這個(gè)功能強(qiáng)大之處在于,Windows系統(tǒng)下的所有文件,無論是正在運(yùn)行的程序,正在被使用的DLL,正在被打開的文件,還是采取自我保護(hù)的驅(qū)動(dòng),全部都可以被輕易地刪除。所以,使用這個(gè)新技術(shù),用戶無需進(jìn)入安全模式,即可干凈徹底的清除惡意軟件。
這個(gè)技術(shù)的原理如下圖所示。