对流氓软件及反流氓软件的技术分析(2)

    为了针对这些反流氓软件，流氓软件出现了内核层的了。

    1.首先是使用文件过滤驱动，保护自己的文件，流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp，从而有效的保护了自己的文件。

    2.内核级hook技术，可hook住所有公开的或者未公开的内核函数，譬如zwcreatefile，zwSetInformation，也可以有效的保护文件。

    3.驱动层下的流氓软件还使用内核级hook技术，替换Regdeletekey，RegDeleteValueKey，RegSetValueKey从而有效的保护了注册表4.利用内核级hook技术还有隐藏进程，或者监控进程，重起进程。

    对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。因为同是驱动程序相互拦截irp等于大家都无法操作，反流氓软件工具的删除irp会被拦截，或者删除函数会被替换。删除注册表函数会被替换。虽然驱动的加载有先后，但是无法保证能完全的删除流氓软件，从而出现了一些更顶级的反流氓软件，他直接发删除文件irp到文件系统。，删除注册表也直接发送到文件系统。这类流氓软件又能有效的完成了反流氓任务，但是根据我了解，这样的软件不多。现在火热的360安全卫士都还只是使用了笨办法，优先于驱动流氓软件启动，创建一个驱动流氓软件同设备名的设备，，使流氓驱动创建不成功。具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面，就是简单的ndis就能优先于360启动。如果前面的组，那360就束手无策了。所以对付这类流氓驱动只能用直接发irp到文件系统。

    流氓软件又怎么来防止直接发irp到文件系统的反流氓软件呢？rootkit，我看很多对于rootkit有误解，很多都认为hook也是rootkit.呵呵，rootkit说白了就是嵌入操作系统文件。你不是发irp到文件系统吗？，可是我把文件系统给改了，不过rootkit根据我的观察unix或者linex下比较多，在windows下还是比较少的，因为需要使用汇编了，哎太晚了，不写了，我想如果流氓软件做到这个技术程度，它也没必要做流氓了，直接做操作系统得了。