一、序言

我曾于06/10/01的时候发过一篇《釜底抽薪:用autoruns揪出流氓软件的驱动保护》的文章，经过一些网友讨论和反应，得到一些有益的反馈。今天在360的论坛上看到一个网友建议，想一想有必须做一个补充。

三、另附360论坛中和一个网友的交流记录：
[hellman]看了<<找出流氓软件的驱动保护>>这篇文章后有一些想法,仅供大家交流。其实数字签名技术由来已久,在98下就有,其实看是不是ms系统的驱动只需在运行里键入sigverif命令,通过一些设置就可以识别有签名和无签名的文件了,具体还可以看它的日志文件.不过有个疑问,系统的显卡等驱动不也是在这里吗?它们也同样没有ms的签名,也就只能通过信息来识别,什么intel之类的,如果如你说的伪造怎么办.有什么办法能知道sys文件保护的是那个病毒文件?这样就不会删错文件了.

[nslog]的确，这是一个很困难的，现在流氓软件都会把文件属性改为Intel之类的
我现在的处理办法是：
1、用这个办法可以把范围迅速缩小，只限于几个或者十几个文件，这样容易得多
2、对于一些“著名”的流氓软件驱动，一眼就能看出来（我一直希望建立这样的一个文件列表），但很困难
3、实在不行，只能靠经验。对于一些驱动，比如标明是rtl8039.sys，看起来象是RTL8039的网卡，但是我的机器
根本没有装网卡，或者通过硬件管理器里面看到网卡的驱动文件不是这个，那么它就可疑。或者通过文件的建立时间来判断。但是没有一个100%可用的办法。
驱动保护本来就是一个比较高级和困难的处理办法，上面这些办法只是提供了一些思路和做法，不能做到完全准确。目前没有想到更好或者彻底的方式。