随着各种反流氓软件工具的推出,全民反“流氓”已进入了实质性的阶段,然而,在强大的利益驱动下,流氓软件的始作俑者们根本不甘于就此谢幕,病毒底层技术在流氓软件中的应用、流氓软件技术的升级、流氓手段的高明让反流氓软件厂商面临很大的挑战。正所谓“魔高一尺,道高一丈”,无论流氓软件手法多么高明,也逃脱不过金山的法眼。金山毒霸的工程师们针对流氓软件难以清除干净的问题提出了一个十分有效的解决方案——文件粉碎技术,即绕过可能被劫持的Windows 系统调用,直接删除磁盘上的恶意软件,避实击虚,直捣要害,一举破解了这个困扰流氓软件清理行业的大难题。
Rootkits 保护下的流氓软件
目前的流氓软件广泛采用了Rootkits 技术来保护自身,企图逃避用户的清理操作。所谓的Rootkits,最初是来源于Unix 系统下的黑客们的一种说法,指的是一类特殊的技术手段。他们使用一些程序技术劫持系统的底层调用,来保护自身植入的一些黑客程序不被系统管理员发现和清除掉。后来,这类技术开始被广泛的应用到了Windows 操作系统当中,被许多木马和流氓软件当成了保护自己为非作歹的护身符。
流氓软件使用到的Rootkits技术多种多样,难以完全破除,特别是一些采用底层驱动技术的流氓软件,通过劫持系统底层调用,可以成功阻止对其核心文件的删除操作。甚至许多流氓软件在Windows安全模式下也使用了许多保护技术,即使进入Windows安全模式都无法成功清除,面对这一现状,包括目前受到用户广泛推崇的Unlocker,IceSword等删除工具,都开始显示出力不从心的现象。
使用Rootkits 技术的流氓软件之所以难以彻底清除,究其原因在于:传统的流氓软件删除技术都是基于Windows 本身的功能完成的,这也正是最标准、通用的文件操作方式。然而,当流氓软件的Rootkits 技术劫持了Windows系统的时候,原来的删除技术赖以成功的基础便不复存在了,所以流氓软件可以瞒天过海,轻易的拦截住对系统提出的删除他们的要求。
最近,金山毒霸的工程师们对这个问题提出了一个十分有效的解决方案。即绕过可能被劫持的Windows 系统调用,直接删除磁盘上的流氓软件,避实击虚,直捣要害,一举破解了这个困扰流氓软件清理行业的大难题。
直击要害的顽固文件粉碎技术
金山系统清理专家新采用的文件粉碎技术,采取绕过系统调用,直接读写文件系统的方式,直接清除磁盘文件。这样,即使恶意软件采用Rootkits技术劫持系统底层调用,也无法阻止系统清理专家直接删除它们的文件。这个功能强大之处在于,Windows系统下的所有文件,无论是正在运行的程序,正在被使用的DLL,正在被打开的文件,还是采取自我保护的驱动,全部都可以被轻易地删除。所以,使用这个新技术,用户无需进入安全模式,即可干净彻底的清除恶意软件。
这个技术的原理如下图所示。