隨著各種反流氓軟件工具的推出,全民反“流氓”已進入了實質性的階段,然而,在強大的利益驅動下,流氓軟件的始作俑者們根本不甘于就此謝幕,病毒底層技術在流氓軟件中的應用、流氓軟件技術的升級、流氓手段的高明讓反流氓軟件廠商面臨很大的挑戰。正所謂“魔高一尺,道高一丈”,無論流氓軟件手法多么高明,也逃脫不過金山的法眼。金山毒霸的工程師們針對流氓軟件難以清除干凈的問題提出了一個十分有效的解決方案——文件粉碎技術,即繞過可能被劫持的Windows 系統調用,直接刪除磁盤上的惡意軟件,避實擊虛,直搗要害,一舉破解了這個困擾流氓軟件清理行業的大難題。
Rootkits 保護下的流氓軟件
目前的流氓軟件廣泛采用了Rootkits 技術來保護自身,企圖逃避用戶的清理操作。所謂的Rootkits,最初是來源于Unix 系統下的黑客們的一種說法,指的是一類特殊的技術手段。他們使用一些程序技術劫持系統的底層調用,來保護自身植入的一些黑客程序不被系統管理員發現和清除掉。后來,這類技術開始被廣泛的應用到了Windows 操作系統當中,被許多木馬和流氓軟件當成了保護自己為非作歹的護身符。
流氓軟件使用到的Rootkits技術多種多樣,難以完全破除,特別是一些采用底層驅動技術的流氓軟件,通過劫持系統底層調用,可以成功阻止對其核心文件的刪除操作。甚至許多流氓軟件在Windows安全模式下也使用了許多保護技術,即使進入Windows安全模式都無法成功清除,面對這一現狀,包括目前受到用戶廣泛推崇的Unlocker,IceSword等刪除工具,都開始顯示出力不從心的現象。
使用Rootkits 技術的流氓軟件之所以難以徹底清除,究其原因在于:傳統的流氓軟件刪除技術都是基于Windows 本身的功能完成的,這也正是最標準、通用的文件操作方式。然而,當流氓軟件的Rootkits 技術劫持了Windows系統的時候,原來的刪除技術賴以成功的基礎便不復存在了,所以流氓軟件可以瞞天過海,輕易的攔截住對系統提出的刪除他們的要求。
最近,金山毒霸的工程師們對這個問題提出了一個十分有效的解決方案。即繞過可能被劫持的Windows 系統調用,直接刪除磁盤上的流氓軟件,避實擊虛,直搗要害,一舉破解了這個困擾流氓軟件清理行業的大難題。
直擊要害的頑固文件粉碎技術
金山系統清理專家新采用的文件粉碎技術,采取繞過系統調用,直接讀寫文件系統的方式,直接清除磁盤文件。這樣,即使惡意軟件采用Rootkits技術劫持系統底層調用,也無法阻止系統清理專家直接刪除它們的文件。這個功能強大之處在于,Windows系統下的所有文件,無論是正在運行的程序,正在被使用的DLL,正在被打開的文件,還是采取自我保護的驅動,全部都可以被輕易地刪除。所以,使用這個新技術,用戶無需進入安全模式,即可干凈徹底的清除惡意軟件。
這個技術的原理如下圖所示。