用autoruns揪出流氓軟體的驅動保護

一、為什麼流氓軟體總是刪不掉？

經常有網友發貼子說檔案刪除不掉，或者流氓軟體清除不了，或者刪除了相關的檔案，但是馬上它又出現了。現在流氓軟體為了保護自己，採取的手段是五花八門，無所不用其極：程序保護，交叉感染，自啟動，自我恢復，檔案隱藏，程序注入，驅動保護。

這也是很多網友提的為什麼檔案刪除不掉，或者刪除了，重啟之後，一會兒又出現了，陰魂不散的原因。下面我們的要做的，就是找出來這些流氓軟體的後台的驅動保護。

二、為什麼找出驅動保護很困難？

windows的驅動檔案一般位於system32\drivers目錄下，以.sys檔案方式存在，通過登錄檔的hklm\system\currentcontrolset\services\的方式來啟動，有一部分屬於服務的，可以在windows的服務的mmc控制視窗裡看到。但如果是驅動，則在這裡看不到。windows正式情況下，那個drivers目錄下有200個左右的檔案，如果偷偷往這個下面塞乙個.sys檔案，是很難發現的。象著名的3721這類cnsminkp.sys，cnnic的cdnprot.sys比較容易認識，但現在的很多軟體的名字都是不固定的，或者是隨機生成的，這樣的辨識的難度就很大。我曾經用過的方式有：

1、通過儲存檔案列表，時常自己手工比較這兩個檔案，看前後差別多出來的檔案肯定有問題

2、通過檔案生成的日期。（這點流氓軟體也想到了，日期也只能作為參考）

3、通過檔案的屬性裡在的公司資訊。早年還行，現在越來越多的流氓軟體的驅動冒充是m$的，有的連英文單詞都寫錯了。唉。。。

4、通過資料夾監視工具。

上面這四種都有一定的缺陷，只能作為參考，都不是太好。並且現在有一些軟體通過檔案系統隱藏，這些驅動檔案，通過資源管理器，根本連看都看不到。

三、如何找出可疑驅動來？

難道沒有更好的辦法嗎？有，應該有的，這個就是我們今天要介紹的主角：autoruns

介紹：autoruns是著名的sysinternals出品的一款小軟體，它的主要功能是列出系統自啟動的專案。通過它，你可以輕易檢視到所有系統可能啟動的地方，非常的全面。跟流氓軟體相關的是「services（服務）"，「lsa providers（lsa提供者）」、"winsock providers（winsock提供者）",「drivers（驅動）「。下面重點介紹drivers這一部分的功能。

執行autoruns之後，在它的「options(選項）」選單中有兩項「verifiy code signatures（驗證**簽名）「hide signed microsoft entries（隱藏已簽名的微軟項）「，把這兩項都選中了。驗證**簽名是指驗證所有dirvers下的.sys檔案的檔案簽名。windows下的硬體有乙個簽名的功能，它是為了保證所有的驅動檔案是經過m$測試，符合hal相容性。隱藏已簽名的微軟項，就是把那些合法的隱藏起來。不然200多個，會看著發暈的。

這樣autoruns就會檢查所有已經註冊成為驅動的項，並且檢查所有的.sys的檔案數字簽名。所有假冒的或者沒有通過**簽名的項，都會在這裡列出來。也就可以很容易判斷這個驅動是不是有問題了。如果有問題的話，可能通過冰刃把裡面相關的登錄檔鍵值刪除，重啟機器，這樣驅動保護就失效了，然後可以通過檔案刪除工具來刪除其它的檔案，完成最後的清理工作。

四、總結

1、流氓軟體刪除不掉或者死灰復燃，很多時候是因為有驅動或服務保護

2、通過autoruns找到這些可疑的驅動

3、通過冰刃刪除相關驅動健值或者直接用檔案粉碎器刪除相關的.sys檔案，重啟驅動就無效

4、清理其它檔案，完成善後工作。

以上方法通過各種測試是證明有效的，但不排除將來有更進一步的隱藏手段來躲避autoruns的檢查。但原理是一樣的。不過是通過程式來減少工作量。

用autoruns揪出流氓軟體的驅動保護

流氓軟體與軟體流氓

清理流氓軟體

Real VNC是流氓軟體？

用autoruns揪出流氓軟體的驅動保護

流氓軟體與軟體流氓

清理流氓軟體

Real VNC是流氓軟體？

相關推薦