隨著各種反流氓軟件工具的推出,全民反“流氓”已進入了實質(zhì)性的階段,然而,在強大的利益驅(qū)動下,流氓軟件的始作俑者們根本不甘于就此謝幕,病毒底層技術(shù)在流氓軟件中的應用、流氓軟件技術(shù)的升級、流氓手段的高明讓反流氓軟件廠商面臨很大的挑戰(zhàn)。正所謂“魔高一尺,道高一丈”,無論流氓軟件手法多么高明,也逃脫不過金山的法眼。金山毒霸的工程師們針對流氓軟件難以清除干凈的問題提出了一個十分有效的解決方案——文件粉碎技術(shù),即繞過可能被劫持的Windows 系統(tǒng)調(diào)用,直接刪除磁盤上的惡意軟件,避實擊虛,直搗要害,一舉破解了這個困擾流氓軟件清理行業(yè)的大難題。
Rootkits 保護下的流氓軟件
目前的流氓軟件廣泛采用了Rootkits 技術(shù)來保護自身,企圖逃避用戶的清理操作。所謂的Rootkits,最初是來源于Unix 系統(tǒng)下的黑客們的一種說法,指的是一類特殊的技術(shù)手段。他們使用一些程序技術(shù)劫持系統(tǒng)的底層調(diào)用,來保護自身植入的一些黑客程序不被系統(tǒng)管理員發(fā)現(xiàn)和清除掉。后來,這類技術(shù)開始被廣泛的應用到了Windows 操作系統(tǒng)當中,被許多木馬和流氓軟件當成了保護自己為非作歹的護身符。
流氓軟件使用到的Rootkits技術(shù)多種多樣,難以完全破除,特別是一些采用底層驅(qū)動技術(shù)的流氓軟件,通過劫持系統(tǒng)底層調(diào)用,可以成功阻止對其核心文件的刪除操作。甚至許多流氓軟件在Windows安全模式下也使用了許多保護技術(shù),即使進入Windows安全模式都無法成功清除,面對這一現(xiàn)狀,包括目前受到用戶廣泛推崇的Unlocker,IceSword等刪除工具,都開始顯示出力不從心的現(xiàn)象。
使用Rootkits 技術(shù)的流氓軟件之所以難以徹底清除,究其原因在于:傳統(tǒng)的流氓軟件刪除技術(shù)都是基于Windows 本身的功能完成的,這也正是最標準、通用的文件操作方式。然而,當流氓軟件的Rootkits 技術(shù)劫持了Windows系統(tǒng)的時候,原來的刪除技術(shù)賴以成功的基礎(chǔ)便不復存在了,所以流氓軟件可以瞞天過海,輕易的攔截住對系統(tǒng)提出的刪除他們的要求。
最近,金山毒霸的工程師們對這個問題提出了一個十分有效的解決方案。即繞過可能被劫持的Windows 系統(tǒng)調(diào)用,直接刪除磁盤上的流氓軟件,避實擊虛,直搗要害,一舉破解了這個困擾流氓軟件清理行業(yè)的大難題。
直擊要害的頑固文件粉碎技術(shù)
金山系統(tǒng)清理專家新采用的文件粉碎技術(shù),采取繞過系統(tǒng)調(diào)用,直接讀寫文件系統(tǒng)的方式,直接清除磁盤文件。這樣,即使惡意軟件采用Rootkits技術(shù)劫持系統(tǒng)底層調(diào)用,也無法阻止系統(tǒng)清理專家直接刪除它們的文件。這個功能強大之處在于,Windows系統(tǒng)下的所有文件,無論是正在運行的程序,正在被使用的DLL,正在被打開的文件,還是采取自我保護的驅(qū)動,全部都可以被輕易地刪除。所以,使用這個新技術(shù),用戶無需進入安全模式,即可干凈徹底的清除惡意軟件。
這個技術(shù)的原理如下圖所示。