流氓软件的技术手段及解决对策.docVIP

2007 年 9 月第 25 卷第 3 2007 年 9 月 第 25 卷第 3 期 扬州教育学院学报 Jou r n al of Y an gz hou Col lege of Sep t . 2007 Vol . 25 ,No . 3 Ed ucat ion 流氓软件的技术手段及解决对策 洪亮1 ,凌振宏2 ,沈渊1 (1 . 扬州教育学院 信息工程学院 , 江苏 扬州 225009 ; 2 . 泰州公安局 , 江苏 泰州 225300) 摘 要 : 介绍了流氓软件的定义 、危害行为及判定方法 ,分析了流氓软件所使用的技术手段 ,并针对其技 术手段给出了解决问题的对策方案 。 关键词 : 流氓软件 ;注册表 ;B HO ; SP I ; HOO K ;驱动层 中图分类号 : TP 311 . 56 文献标识码 : A 文章编号 : 1008 - 6536 (2007) 03 - 0025 - 03 有数据表明 ,几乎 99 %的上网用户都或多或少 受到过流氓软件的危害 。从笔者的实践来看也确是 如此 ,随意打开一台上网计算机 ,几乎都能从中发现 流氓软件的蛛丝马迹 。2006 年 ,多家软件公司遭受 反流氓软件联盟的起诉 , 其中不乏一些业内知名企 业 。同年 ,流氓软件和病毒一起被列入各大杀毒软 件的黑名单 。那么什么是流氓软件 , 它有什么样的 流氓行为 ,我们又将采用什么样的手段应对 ,本文将 着重讨论这一系列的相关问题 。 1 . 流氓软件的定义 、危害行为及判定方法 什么是流氓软件 ? 笔者认为 : 流氓软件是具有 正常的功能应用 , 但同时也隐藏着侵犯使用者正当 权益的恶意行为的软件 。不管其软件初衷如何 , 只 要其行为侵犯了使用者的正当权益 , 即可认定为流 氓软件 。 流氓软件的主要危害行为有如下几种 : 一 、频繁弹出广告窗口 、网页 ,用户无法停止 ,同 时消耗用户计算机资源 ,造成速度变慢不能上网 ,严 重影响用户的上网学习工作 。 二 、安装后门 。在不告知用户的情况下 ,搜集用 户信息 、隐私数据 , 记录用户电脑使用习惯 、网络浏 览习惯 ,并将这些信息发送给软件制作者 ,用于商业 目的 。 三 、更改用户上网主页 , 强行引导至商业网站 , 且用户无法更改 。 四 、共享软件为了经济利益 , 试用期到后 , 强迫 用户注册 ,如不注册则须承担数据丢失等损失 。 五 、更改用户第三方搜索引擎结果 ,添加自己的 广告或加入自己的网站链接获取网站流量 。 六 、与某些软件捆梆 ,在用户不知情的情况下自 动安装 ,或使用陷阱欺骗诱导用户在无意的情况下 安装 ,而卸载时不能完全卸载或卸载时存在陷阱最 终造成不完全卸载 。 用户在使用计算机时 ,如发现存在以上表象 ,一 般可判定已安装了流氓软件 。当然也可合并使用其 他方法判定 ,如使用 Ct rl + Shif t + Esc 打开任务管理 器窗口在进程列表中查看有无不明进程 ,使用“恶意 软件清理助手”“360 安全卫士”“超级兔子”等专用 查杀工具检测本机中是否安装有流氓软件 。 2 . 流氓软件使用的技术手段 流氓软件从无到有发展到今天 , 其使用的技术 手段越来越高明 、越来越隐蔽 ,现将其用到的技术手 段一一作出分析 。 2 . 1 改动注册表 。如改动注册表的自启动项 , 添加流氓软件到自启动项 ,在系统启动时自动加载 , 早先的很多流氓软件经常采用这种方法 。事实上 , 注册表作为 Windows 的根本 , 与绝大多数的系统行 为都有关系 ,流氓软件要达到其恶意行为必须在注 册表中多处建立或修改相关键和键值 。 2 . 2 使用 B HO (Browser Helper Object ,浏览器 收稿日期 : 2006 - 06 - 14 作者简介 : 洪亮 ( 1977 —) , 男 , 江苏高邮人 , 扬州教育学院信息工程学院讲师 ; 凌振宏 ( 1976 —) , 男 , 江苏靖江人 , 泰州公 安局技术保障大队工程师 ; 沈渊 ( 1978 —) , 男 , 安徽天长人 , 扬州教育学院信息工程学院讲师 。 辅助 对 象) 辅助 对 象) 插 件 技 术 。B HO 是 实 现 特 定 接 口 的 COM 组件 。开发好的 B HO 插件在注册表中的特定 位置注册好后 ,每当 I E 启动时 ,B HO 插件同时被启 动 。在浏览器工作过程中 ,B HO 可以接收到很多事 件 ,比如浏 览 器 当 前 正 在 浏 览 的 地 址 、打 开 新 的 窗 口 、浏览器退出等等 ,在对这些事件的响应中实现与 浏览器的交互 。微软预留的 B HO ,原本是给个性化 地定制浏