“流氓軟件”預(yù)防技術(shù)的探究

“流氓軟件”預(yù)防技術(shù)的探究目錄TOC\o"1-3"\h\u265701研究的意義和目的 1287251.1研究流氓軟件的意義 1127341.2流氓軟件的發(fā)展歷史 178671.2.1惡意頁面編碼時(shí)代 1156561.2.2插件推廣 18001.2.3軟件束縛時(shí)代 264431.2.4加密技術(shù)的興起 2317801.2.5研究的目的 233591.3國內(nèi)外對(duì)流氓軟件的相關(guān)治理 2289071.3.1國外對(duì)流氓軟件的治理 2296951.3.2國內(nèi)對(duì)流氓軟件的治理 3182482我國現(xiàn)階段的互聯(lián)網(wǎng)軟件發(fā)展情況 6164013流氓軟件概述 695333.1什么是流氓軟件 6206933.2流氓軟件的特點(diǎn) 681033.3常見流氓軟件類型 7219023.4“流氓軟件”運(yùn)行原理和技術(shù)的研究 9182313.4.1流氓軟件的工作原理 922623.4.2軟件的主要入侵方式 10199913.4.3運(yùn)行原理及過程 10138603.5流氓軟件與病毒軟件的區(qū)別 1151153.5.1目的不同 11164293.5.2破壞程度不同 1149673.5.3傳染性 11223933.5.4使用后果 12170074流氓軟件發(fā)展的原因 12191304.1巨大的商業(yè)利益 12190114.2用戶安全意識(shí)缺乏 12262644.3廠家道德意識(shí)淡薄 13215664.4相關(guān)法律不建全 13186995流氓軟件的預(yù)防技術(shù) 14246635.1流氓軟件的典型軟件行為 14277855.2遏止流氓軟件運(yùn)行的系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 15307525.3WindowsAPI攔截技術(shù)研究 1644885.4系統(tǒng)的運(yùn)行過程 21273205.5系統(tǒng)應(yīng)用測試 2184845.5.1系統(tǒng)運(yùn)行的環(huán)境 21249245.5.2系統(tǒng)功能測試 21148295.5.3系統(tǒng)性能測試 25229116流氓軟件的預(yù)防措施 26246146.1提高防范意識(shí) 26144756.2使用正版軟件 26217586.3預(yù)防非法軟件 2737676.4利用數(shù)字簽名技術(shù)預(yù)防 27298296.5利用安全工具的使用技術(shù)預(yù)防 2824626.6IE使用中的技術(shù)預(yù)防 28144547結(jié)論 3023673參考文獻(xiàn) 3011777致謝 31

摘要：時(shí)代在進(jìn)步,網(wǎng)絡(luò)在發(fā)展,21世紀(jì)以來，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的廣泛普及，在網(wǎng)絡(luò)中存在的安全隱患問題越來越受到網(wǎng)絡(luò)管理人員的重視?，F(xiàn)在網(wǎng)絡(luò)已經(jīng)成為人們交流的主要途徑，然而網(wǎng)絡(luò)在傳播一些科技工具與技術(shù)的同時(shí)，惡意軟件也開始出現(xiàn)，帶給人們很多煩惱和困惑?，F(xiàn)在對(duì)計(jì)算機(jī)用戶日常造成干擾和對(duì)用戶的個(gè)人隱私的保護(hù)決不只有病毒,和黑客,還有越來越多日益壯大且很難根除的“流氓軟件”。本文分析了“流氓軟件”與其他軟件的區(qū)別、特點(diǎn)以及類型進(jìn)行了闡述。進(jìn)而對(duì)其工作原理、入侵方式以及運(yùn)行原理等方面進(jìn)行細(xì)致的研究。進(jìn)一步對(duì)“流氓軟件”能夠快速發(fā)展的主要?jiǎng)右蜻M(jìn)行挖掘。本文針對(duì)“流氓軟件”的特點(diǎn)、類型及其運(yùn)行原理的基礎(chǔ)上提出一些針對(duì)性的預(yù)防技術(shù),通過WindowsAPI攔截技術(shù)對(duì)“流氓軟件”進(jìn)行預(yù)防，并給出了測試與分析。同時(shí)，針對(duì)“流氓軟件”的問題，本文也對(duì)提出了預(yù)防“流氓軟件”的措施。通過預(yù)防技術(shù)與預(yù)防措施相結(jié)合，以達(dá)到凈化網(wǎng)絡(luò)環(huán)境,保護(hù)計(jì)算機(jī)用戶的個(gè)人隱私的目的。關(guān)鍵詞:“流氓軟件”；預(yù)防；攔截；技術(shù)研究1研究的意義和目的1.1研究流氓軟件的意義在飛速發(fā)展的網(wǎng)絡(luò)時(shí)代，中國的網(wǎng)絡(luò)用戶人數(shù)與規(guī)模都在快速增長，有著堅(jiān)實(shí)的網(wǎng)絡(luò)基數(shù)，有些奸商就會(huì)想方設(shè)法從中國網(wǎng)絡(luò)用戶身上獲取利潤；中國擁有大量的互聯(lián)網(wǎng)用戶，然而他們?cè)诶没ヂ?lián)網(wǎng)和發(fā)掘信息方面的能力卻參差不齊，這就給了不法分子制造和傳播流氓軟件的機(jī)會(huì)。因此，對(duì)流氓軟件的識(shí)別、防治具有較高的意義，本文選取了“流氓軟件”與其它軟件的區(qū)別、種類及危害進(jìn)行了分析；同時(shí)，根據(jù)其運(yùn)作機(jī)理，提出了相應(yīng)的預(yù)防和控制對(duì)策，以期實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間的清理，維護(hù)網(wǎng)絡(luò)環(huán)境，進(jìn)一步保護(hù)網(wǎng)絡(luò)使用者的隱私[1]。1.2流氓軟件的發(fā)展歷史2005年6月，惡意程序已經(jīng)在互聯(lián)網(wǎng)上引起了廣大網(wǎng)民、社會(huì)各界以及專業(yè)人士的高度重視。那么，“流氓軟件”是怎樣產(chǎn)生并發(fā)展起來的呢？其產(chǎn)生的過程可以歸納為四個(gè)階段：網(wǎng)絡(luò)惡意代碼、插件泛濫、軟件捆綁、流氓軟件病毒化”。1.2.1惡意頁面編碼時(shí)代自2001年起，有些不良網(wǎng)址任意更改了使用者的網(wǎng)頁，將不良程式碼置于使用者的網(wǎng)頁內(nèi)，在使用者單擊該網(wǎng)址時(shí)，將使用者的IE瀏覽器首頁變更或連結(jié)至非法網(wǎng)址[2]。網(wǎng)絡(luò)使用者每次打開瀏覽器，都會(huì)被強(qiáng)行點(diǎn)開相應(yīng)的非法網(wǎng)址，影響到網(wǎng)絡(luò)用戶的日常使用，或者是通過該種手段進(jìn)行相應(yīng)的商品宣傳，當(dāng)時(shí)這種方式極為猖獗。曾經(jīng)，有一個(gè)不法網(wǎng)站把用戶的網(wǎng)頁改成了“/”，而IE的標(biāo)題則變成了“歡迎來到花谷！”。另外，該軟件還可以關(guān)閉IE設(shè)置，注冊(cè)表編輯，DOS等十幾個(gè)重要的系統(tǒng)特性。這樣的行為，不僅會(huì)對(duì)使用者造成極大的困擾，不法分子還能夠借此來提升網(wǎng)站的流量，進(jìn)而獲取不法利益。1.2.2插件推廣自2003年起，“中國網(wǎng)路沖浪”在中國掀起一股新的熱潮?！爸形幕ヂ?lián)網(wǎng)”是指把中國地區(qū)劃分成若干個(gè)不同的站點(diǎn)，這樣當(dāng)人們鍵入中國企業(yè)或網(wǎng)址后，就可以直接進(jìn)入該站點(diǎn)，這一點(diǎn)被一些“中文互聯(lián)網(wǎng)服務(wù)”公司所采用。2005年年初，由于“中國上網(wǎng)”公司之爭，愈來愈多的本地網(wǎng)路制造商認(rèn)識(shí)到，在推動(dòng)插件程式方面有很大的發(fā)展空間及商機(jī)，因此也相繼推出自己的插件產(chǎn)品。這就導(dǎo)致用戶在瀏覽一些特定的站點(diǎn)時(shí)往往被迫在其上安裝大量的附加程序和工具欄軟件[4]。而當(dāng)這種狀況不斷加劇時(shí)，使用者們就會(huì)對(duì)這樣的插件產(chǎn)生不滿情緒，他們把那些不請(qǐng)自來的程序稱為“流氓軟件”。1.2.3軟件束縛時(shí)代從2005年開始，我國的“盜版”問題滋生，并且愈演愈烈，很多應(yīng)用和軟件一經(jīng)發(fā)布就被人攻破，而開發(fā)者則是靠著軟件登記費(fèi)來掙錢，因此他們只有靠非法軟件來賺錢。另外，有些商家也在幫著不良軟件發(fā)布者打廣告，利用惡意軟件對(duì)彈窗廣告進(jìn)行大范圍的覆蓋，以此來獲取穩(wěn)定的盈利，從而建立起一條完善的不良軟件產(chǎn)業(yè)鏈條[5]。1.2.4加密技術(shù)的興起隨著惡意程序的發(fā)展，勒索程序也隨之產(chǎn)生。這是一種針對(duì)電腦系統(tǒng)的惡意程序。較早的時(shí)候，惡意軟件被界定為一種程式，藉由惡意植入把程式插入到用戶的電腦中，進(jìn)而對(duì)系統(tǒng)的信息等進(jìn)行入侵與盜取。它的產(chǎn)生與發(fā)展絕非偶然，它是惡意軟件演化到一定階段的結(jié)果[6]。伴隨著網(wǎng)路科技的持續(xù)進(jìn)步、密碼科技的進(jìn)階、網(wǎng)絡(luò)的的成長與用戶的普遍化，使得軟件更加容易擴(kuò)散，且較為廉價(jià)。而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)交易的安全性越來越高。勒索程序就像惡夢般地在計(jì)算機(jī)上浮現(xiàn)，并讓計(jì)算機(jī)被感染[7]。1.2.5研究的目的文章通過對(duì)“流氓軟件”的分析，根據(jù)其工作及運(yùn)行原理，提出了相應(yīng)的防范和控制對(duì)策，以期實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間的清理，凈化網(wǎng)絡(luò)環(huán)境，保護(hù)廣大網(wǎng)絡(luò)使用者的隱私。1.3國內(nèi)外對(duì)流氓軟件的相關(guān)治理1.3.1國外對(duì)流氓軟件的治理針對(duì)日益增多的網(wǎng)絡(luò)犯罪，世界上許多國家紛紛從不同角度對(duì)其進(jìn)行治理。美國是“流氓軟件”發(fā)展較快的國家，同時(shí)也是打擊手段發(fā)展最快、效果最好的一個(gè)，其具體做法有以下三個(gè)方面。（1）政府健全法律構(gòu)建完善的法規(guī)制度，進(jìn)而能夠根據(jù)相應(yīng)的法律條文使“流氓軟件”得到相應(yīng)的制裁。根據(jù)間諜軟件專家和間諜軟件立法人員BenEdelman本德爾曼的說法，聯(lián)邦及各州法律的不斷完善，可以幫助對(duì)“間諜軟件”進(jìn)行有效的控制與打擊。隨著使用間諜軟體盜取個(gè)人資料的“竊賊”數(shù)量的急劇上升，政府終于針對(duì)該問題進(jìn)行了反應(yīng)。美國尤他州率先投票通過了其首部非法軟體法案，而美國加利福尼亞州則通過了《保護(hù)消費(fèi)者反間諜軟件法》[8]。這也是美國加州首次實(shí)施間諜軟體的法案[9]。這項(xiàng)法律清楚地規(guī)定，軟件不允許使用下列欺詐手段：更改特定網(wǎng)絡(luò)瀏覽器的設(shè)定、搜集可識(shí)別的資料、不讓使用者移除或停用安全軟體、或者嘗試去操控一個(gè)使用者的電腦。按照《美國侵權(quán)法(第二次重述)》的說法，“由于間諜程序的入侵，會(huì)降低系統(tǒng)的運(yùn)行速度，降低系統(tǒng)資源，彈出廣告，會(huì)造成物品的狀態(tài)、質(zhì)量和性能的下降，已經(jīng)構(gòu)成了損害財(cái)產(chǎn)的行為[10]。因此，美國的EntemetMediaIne公司、Conspy&Co．Inc公司和1wenuneS公司被法庭給予關(guān)閉的處罰，其原因是其將不良程序與手機(jī)鈴聲、音樂程序以及其他自由軟件進(jìn)行綁定[11]。（2）安全廠家研究和查殺各網(wǎng)絡(luò)公司加大了對(duì)“流氓軟件”的研究力度，并在反“流氓軟件”的斗爭中發(fā)揮著重要作用。Webroot發(fā)布了名為“SpySweeper”的防間諜程序。McAfee發(fā)布了McAfee反病毒軟件，它能自動(dòng)預(yù)防和防止用戶受到來自于網(wǎng)絡(luò)間諜和廣告的攻擊。賽門鐵克與微軟，雅虎，惠普、美國在線、麥克菲等公司組成了一個(gè)情報(bào)偵察軟件聯(lián)盟(Anti—SpywareCoalition)，聯(lián)盟提出了一個(gè)關(guān)于間諜軟件的概念，經(jīng)過許多用戶和行業(yè)機(jī)構(gòu)的廣泛參加，形成了一個(gè)統(tǒng)一的定義和規(guī)范。將防間諜軟件添加到它的最新版本的諾頓殺毒程序?？ò退够鶜⒍拒浖軌驒z測到病毒，蠕蟲，間諜，以及惡意的廣告等，并對(duì)惡意軟件做出相應(yīng)的反應(yīng)[12]。（3）商家抵制流氓軟件企業(yè)與科研院所已展開了大規(guī)模的協(xié)作，共同打擊惡意軟體。谷歌，聯(lián)想，SUN、哈佛法律學(xué)校伯克曼的網(wǎng)絡(luò)及社交中心以及牛津的網(wǎng)際網(wǎng)路研究所，共同組建了“反流氓軟件”聯(lián)盟（StopBadwareCoalition）[13]。該聯(lián)盟和谷歌進(jìn)行寫作，谷歌根據(jù)來自聯(lián)盟的不良程序列表，如果使用者通過搜索結(jié)果瀏覽到的網(wǎng)頁中含有惡意程序或者惡意程序，谷歌就會(huì)向你發(fā)出一個(gè)警報(bào)，提示你這個(gè)站點(diǎn)有潛在的危險(xiǎn)。協(xié)助使用者辨識(shí)可能存在的隱患。IBM與安全公司BitDefender聯(lián)手，將向IBM網(wǎng)絡(luò)安全體系（ISS）提供BitDefender的防病毒和防間諜軟件，以增強(qiáng)對(duì)現(xiàn)有的防病毒和防間諜組件的防護(hù)能力，使用戶能夠應(yīng)對(duì)各種新興的威脅[14]。1.3.2國內(nèi)對(duì)流氓軟件的治理著名的網(wǎng)絡(luò)分析專家呂伯望告訴記者，雖然中美的網(wǎng)絡(luò)起點(diǎn)都很接近，但是因?yàn)閮蓚€(gè)國家的司法系統(tǒng)和政府部門的行為不同，中國的網(wǎng)絡(luò)對(duì)使用者權(quán)利的侵害遠(yuǎn)遠(yuǎn)大于國外。Google僅僅在Gmail上發(fā)布可以通過關(guān)鍵字進(jìn)行檢索，美國議會(huì)就要召開特別的聽證會(huì)，來進(jìn)一步確認(rèn)該項(xiàng)內(nèi)容是否會(huì)對(duì)使用者的隱私造成侵害。呂伯望表示，由于我國的法律還不健全，中國的網(wǎng)絡(luò)公司幾乎能夠做到為所欲為，進(jìn)而致使利用網(wǎng)絡(luò)進(jìn)行不法侵害的行為不斷加劇?！傲髅ボ浖钡氖⑿信c蔓延，造成網(wǎng)絡(luò)使用者、商家與行業(yè)協(xié)會(huì)的困擾，進(jìn)而使得包括傳媒在內(nèi)的多方勢力都在積極地投入到“反流氓軟件”的斗爭中。最近幾年，新聞媒介對(duì)“流氓軟件”的集中曝光，對(duì)“流氓軟件”進(jìn)行了全方位的打擊[15]。當(dāng)前，中國對(duì)流氓軟件的控制措施包括：由網(wǎng)絡(luò)用戶發(fā)起的“反流氓軟件”組織對(duì)相關(guān)企業(yè)的起訴、由信息安全企業(yè)打擊惡意程序、由行業(yè)協(xié)會(huì)倡導(dǎo)的行業(yè)自律、工信部設(shè)立投訴電話接受投訴、逐步完善相關(guān)法律和規(guī)定等措施。（1）軟件行業(yè)自律所謂的“行業(yè)自律”，就是從推動(dòng)整個(gè)產(chǎn)業(yè)的良性發(fā)展的角度出發(fā)，通過各產(chǎn)業(yè)的成員提高自身的自我約束能力，對(duì)惡意的軟件進(jìn)行嚴(yán)厲的打擊，從而達(dá)到保護(hù)整個(gè)行業(yè)利益的目的，創(chuàng)造一個(gè)良好的產(chǎn)業(yè)生態(tài)。一項(xiàng)研究表明，在對(duì)抗“流氓軟件”方面，大家更關(guān)心的是有關(guān)行業(yè)整頓以及有關(guān)的國家政策。瑞星（瑞星）日前發(fā)布《規(guī)范軟件產(chǎn)品行為倡議書》，號(hào)召我國各大軟件企業(yè)抵制“流氓軟件”，以保障廣大網(wǎng)民的合法利益，提高整體產(chǎn)業(yè)的信譽(yù)[16]。瑞星，新浪，搜狐，網(wǎng)易等十六個(gè)互聯(lián)網(wǎng)和軟件公司簽訂了《軟件產(chǎn)品行為安全自律公約》，旨在以行業(yè)的自我約束來對(duì)抗“流氓軟件”程序?？上У氖?，這個(gè)行業(yè)的自我約束更多地體現(xiàn)在道德方面，即通過各產(chǎn)業(yè)的會(huì)員按照自己的規(guī)則來自發(fā)地對(duì)“流氓軟件”進(jìn)行反抗，并對(duì)自己的行為進(jìn)行約束；然而，該條約缺少切實(shí)的約束和嚴(yán)厲的制裁。受巨額經(jīng)濟(jì)利潤的驅(qū)使，開發(fā)“流氓軟件”的企業(yè)與個(gè)體，仍未放棄生產(chǎn)與散布“流氓軟件”的行為。雖然這種行為在實(shí)踐中的作用并不顯著，但它卻為建立一個(gè)“反流氓軟件”的良性市場生態(tài)奠定了基礎(chǔ)[17]。（2）主管部門監(jiān)督我國“反流氓軟件”聯(lián)盟與國內(nèi)的軟件行業(yè)聯(lián)合發(fā)布了“綠色軟件倡議書”，號(hào)召抵制“流氓軟件”的開發(fā)和傳播[18]。信息產(chǎn)業(yè)部向公眾發(fā)布了針對(duì)“流氓軟件”的投訴熱線（010-12321)接收使用者的實(shí)時(shí)舉報(bào)。然而，以這樣的號(hào)召在控制“流氓軟件”方面還遠(yuǎn)遠(yuǎn)不足。要想徹底消除“流氓軟件”，必須從行業(yè)發(fā)展的角度，建立良好的行業(yè)生態(tài)，建立健全的行業(yè)生態(tài)，才能真正地消除“流氓軟件”。緊隨其后的是信息保障企業(yè)開發(fā)了專門的殺毒軟件。由于IT企業(yè)在防病毒方面有著雄厚的技術(shù)力量，并且在針對(duì)“流氓軟件”方面有著獨(dú)特的優(yōu)勢。當(dāng)前，我國各大信息安全公司都已經(jīng)發(fā)布了針對(duì)“流氓軟件”的專門清除工具，有些“殺毒軟件”產(chǎn)品制造商甚至聲稱“不管遭遇何種困境，我們都要將“流氓軟件”徹底攔截”。在這類企業(yè)中，瑞星是第一批針對(duì)“流氓軟件”進(jìn)行防范的企業(yè)。瑞星于2003年3月，在“殺毒軟件”2002加強(qiáng)版本中，增加了網(wǎng)頁監(jiān)視及腳本監(jiān)視功能，協(xié)助使用者應(yīng)付網(wǎng)絡(luò)上的“流氓軟件”入侵，并收到良好的控制成效。在2004年12月，瑞星“殺毒軟件”2005版本中整合了“登錄監(jiān)視”這一特性，已是對(duì)付“流氓軟件”的強(qiáng)大利器。在2005年1月，瑞星公司推出了一個(gè)免費(fèi)的登錄系統(tǒng)修補(bǔ)程序。2005年6月28日，瑞星官方發(fā)布“卡卡網(wǎng)絡(luò)助理”1.0版本，通過實(shí)際行動(dòng)對(duì)“流氓軟件”進(jìn)行有效的反擊。在2006年11月14日，瑞星公司發(fā)布了一款名為“卡卡助理3.0O”的產(chǎn)品，它整合了“碎甲”的獨(dú)特功能，可以完全清除“流氓軟件”，并且保證對(duì)所有的使用者都是免費(fèi)的。在去年11月份，瑞星公司接到客戶的舉報(bào)，發(fā)出了對(duì)“myl23”，“7939.Com”，“3448.Com”等三款“流氓軟件”的攔截，決心對(duì)這類具有嚴(yán)重威脅的“流氓軟件”進(jìn)行徹底的整治[19]。然而，信息安全企業(yè)的反制行動(dòng)也遇到了許多難題，首先“流氓軟件”在不斷異變，特別是逐漸地朝著病毒式的方向發(fā)展，從技術(shù)上來說，很難完全消除流氓軟件。另外，在現(xiàn)行的司法實(shí)踐中，對(duì)于“流氓軟件”的界定并不清晰，加之軟件不斷地更新和迭代，使得現(xiàn)有的立法很難將其全部覆蓋；若處置不當(dāng)，將導(dǎo)致企業(yè)陷入不公平的市場競爭，從而產(chǎn)生潛在的法律風(fēng)險(xiǎn)。很多公司都在尋求政府的幫助，以防止間諜公司對(duì)其提起相應(yīng)的法律訴訟。（4）政府完善法律打擊“流氓軟件”的非政府團(tuán)體聯(lián)合會(huì)已經(jīng)對(duì)北京的易趣案和上海的“很棒小秘書”案進(jìn)行了訴訟。然而，這些訴訟最終都以94元的賠償而結(jié)束。“流氓軟件”是一種侵害個(gè)人隱私、財(cái)產(chǎn)權(quán)利的行為，違反《消費(fèi)者權(quán)益保護(hù)法》、《民法運(yùn)機(jī)信息系統(tǒng)安全保護(hù)條例》、《電信條例》等規(guī)定。不過，反對(duì)“流氓軟件”聯(lián)合會(huì)的一位律師黃錦深表示，制作和傳播“流氓軟件”已經(jīng)嚴(yán)重侵害了網(wǎng)絡(luò)使用者的正當(dāng)權(quán)利，而在我國現(xiàn)有的法律條文中，對(duì)該損害的計(jì)算方法卻仍處于一片空白。而且，“反流氓軟件”對(duì)中搜網(wǎng)提出了94塊錢的索賠，不管這場官司是勝是敗，都不會(huì)對(duì)“流氓軟件”的龐大資金流有任何改變。這就造成了網(wǎng)絡(luò)用戶權(quán)益難以得到保護(hù)，一些不法軟件發(fā)行人也能通過“流氓軟件”獲取利益，從而造成了網(wǎng)絡(luò)病毒泛濫的局面?！傲髅ボ浖痹谟?jì)算機(jī)上的運(yùn)行，無疑是對(duì)計(jì)算機(jī)使用者隱私的一種侵害。計(jì)算機(jī)是使用者的私有領(lǐng)地，而“流氓軟件”則被強(qiáng)制裝入使用者的個(gè)人計(jì)算機(jī)內(nèi)，并且很難卸載。無論有何企圖，這行為本身就是一種侵害他人隱私的行為。使用者應(yīng)當(dāng)運(yùn)用現(xiàn)行法規(guī)來保護(hù)自己的權(quán)利。對(duì)于網(wǎng)絡(luò)犯罪，目前尚無基本立法，僅就《民法通則》75條；《消費(fèi)者權(quán)益保護(hù)法》第7條，第8條，第9條，第10條，第11條。對(duì)此，我們可以借鑒《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《電信條例》等有關(guān)部門的規(guī)定。由于越來越多的人意識(shí)到了“流氓軟件”的危險(xiǎn)性，相應(yīng)的相關(guān)立法也在不斷地改進(jìn)。而這無疑是針對(duì)“流氓軟件”的有效措施，但也需要大量的人力物力與時(shí)間成本。2我國現(xiàn)階段的互聯(lián)網(wǎng)軟件發(fā)展情況針對(duì)當(dāng)前我國泛濫的“流氓軟件”，其擴(kuò)散方式多種多樣，而共享程序則是最主要的傳播渠道之一。歐美地區(qū)的共享軟件是指使用者先進(jìn)行使用后，再進(jìn)行支付報(bào)酬，且享有版權(quán)的軟件。在國內(nèi)，正版的軟件和收費(fèi)的軟件是沒有市場競爭力的，軟件剛剛被開發(fā)出來就會(huì)被破解，進(jìn)而都變成了免費(fèi)的軟件。軟件的開發(fā)企業(yè)或個(gè)體不能夠依賴于軟件開發(fā)來獲取相應(yīng)的利潤，而必須與其它類似的附加功能捆綁在一起才能獲取利益。正是通過這種方式，“流氓軟件”才能持續(xù)侵入用戶的電腦，并向外傳播。網(wǎng)絡(luò)為商業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境，同時(shí)也隨之產(chǎn)生了一個(gè)全新的行業(yè)——計(jì)算機(jī)病毒行業(yè)。這個(gè)行業(yè)以計(jì)算機(jī)病毒及“流氓軟件”為主，在網(wǎng)上進(jìn)行秘密的交易。一旦用戶支付了費(fèi)用，就會(huì)通過非法網(wǎng)站，電子郵件，P2P等方式散布到整個(gè)互聯(lián)網(wǎng)，導(dǎo)致大批的網(wǎng)絡(luò)使用者受到攻擊。其主要的目標(biāo)有幾種，第一個(gè)目標(biāo)就是利用“流氓軟件”竊取使用者的各個(gè)賬戶和密碼，將其用于販賣或者從事其它違法行為。二是利用“流氓軟件”、病毒等手段，通過遠(yuǎn)程操控，使大批的網(wǎng)站服務(wù)器及最終使用者淪為“僵尸”、“傀儡”，從而實(shí)施網(wǎng)上詐騙等違法行為。三是利用“流氓軟件”散布，實(shí)施各類虛假的廣告或其它不公平的市場競爭。3流氓軟件概述3.1什么是流氓軟件它是指當(dāng)計(jì)算機(jī)用戶在網(wǎng)上瀏覽時(shí)，意外地通過強(qiáng)制和非法的方式迫使用戶所訪問的頁面首先跳躍到某些商業(yè)網(wǎng)站，乃至是色情網(wǎng)站，或是當(dāng)用戶在下載該程序時(shí)，被綁定地下載了大量的盜版內(nèi)容。基于通過這種方法來影響使用者的經(jīng)驗(yàn)并通過不透明的方法來提升網(wǎng)頁流量，從而獲得了廣告費(fèi)用以及應(yīng)用推廣費(fèi)用等不法收益。3.2流氓軟件的特點(diǎn)“流氓軟件”就是介于病毒與一般的軟件之間的一種軟件程序。當(dāng)計(jì)算機(jī)中存在流氓程序的時(shí)候，當(dāng)用戶用電腦上網(wǎng)的時(shí)候，就會(huì)有很多的廣告，比如一些藥品或者產(chǎn)品的廣告。電腦的瀏覽器在不知不覺中發(fā)生了變化，并且會(huì)頻繁跳到很多沒見過的網(wǎng)站，并出現(xiàn)大量的廣告，其中一些網(wǎng)站上充滿了色情的廣告。有些基本的流氓軟件并不妨礙使用者電腦的正常操作，但是在使用者打開電腦時(shí)，會(huì)出現(xiàn)一個(gè)附加頁面，用以進(jìn)行廣告或促銷。還有許多高級(jí)的流氓軟件來盜取使用者的私人信息，比如手機(jī)號(hào)碼、網(wǎng)絡(luò)瀏覽記錄、網(wǎng)頁上的口令等。所以，流氓軟件所造成的危害比我們所能想到的要大得多。為了實(shí)現(xiàn)上述功能，用戶經(jīng)常被要求輸入可辨認(rèn)的私人用戶名、密碼、賬號(hào)、生日、社保號(hào)、信用卡號(hào)碼等。因?yàn)檫@樣的個(gè)人資料有可能會(huì)被用作諸如身份竊取、欺詐購買或其它此類用途，因此，會(huì)開發(fā)一系列的軟件可以秘密地搜集用戶信息并傳送到第三方。另外，對(duì)于“流氓軟件”，用普通的方式是無法將其進(jìn)行卸載的，或者是不能全部卸載。對(duì)于大多數(shù)用戶來說，要想卸載“流氓軟件”是極為困難的，這只適用于一般的使用者，而非計(jì)算機(jī)專業(yè)人士。由于法律不可能規(guī)定人人都要精通計(jì)算機(jī)。操作標(biāo)準(zhǔn)為在卸載向?qū)дＶ敢录茨芡耆珓h除。3.3常見流氓軟件類型廣告：這款“流氓軟件”遍布整個(gè)互聯(lián)網(wǎng)，甚至連新浪這樣的大門戶都能見到，經(jīng)常以網(wǎng)頁的方式出現(xiàn)在計(jì)算機(jī)用戶端的右下方、左下方，其外觀阻礙了使用者對(duì)普通資料的閱讀，當(dāng)使用者按下關(guān)掉按鈕，他就會(huì)把使用者連結(jié)到其促銷的物品網(wǎng)頁；按順序來達(dá)到宣傳自身商品的目標(biāo)，這樣的“流氓軟件”對(duì)使用者傷害不大，最終目標(biāo)是促銷自己產(chǎn)品。特點(diǎn)：以插件的方式，可在使用者不知道或沒有使用者同意時(shí)，自行下載并安裝，亦有部份是與其他軟件組合而成。一種以安裝后彈窗或其他方式進(jìn)行的廣告活動(dòng)。大部分都是為了賺錢。在強(qiáng)行安裝之后，不能將其卸載。危險(xiǎn)：每次安裝后都會(huì)跳出一些彈窗，這些彈窗會(huì)占用你的電腦系統(tǒng)，影響你的日常生活，降低電腦的運(yùn)行速度，甚至導(dǎo)致你的電腦死機(jī)。表現(xiàn)：在瀏覽器欄或者Baidu、谷歌等搜索引擎中鍵入搜索關(guān)鍵字，例如電腦、軟件等，都會(huì)出現(xiàn)有關(guān)企業(yè)的廣告資料，讓使用者不得不面臨他們所不希望見到的那些廣告窗口和有害的消息：當(dāng)你裝好某個(gè)下載軟件之后，就會(huì)不斷地彈出一些含有廣告的窗口，影響人們的日常使用。另外有些應(yīng)用，比如3721網(wǎng)絡(luò)助手，在IE的工具條中加入了與其無關(guān)的頁面連接和廣告，一般人難以去除。間諜軟件：一般是指在沒有經(jīng)過電腦使用者同意的情況下，從電腦上收集資料，然后把資料傳送到第三方軟體。這其中包括監(jiān)控密鑰，保密信息（密碼，信用卡號(hào)碼，PIN代碼等），獲取電子郵件地址，跟蹤閱讀習(xí)慣等等。特征：記錄使用者的私人資料，而不經(jīng)使用者同意而使用進(jìn)行記錄。當(dāng)間諜軟件在執(zhí)行階段，其內(nèi)部的木馬就會(huì)采取“進(jìn)程插入”的手段。即將間諜軟體的DLL檔案插入普通程式程式的位址中，以達(dá)到本身偵測、竊取資訊的目標(biāo)。其通常采用的方法是對(duì)鍵盤進(jìn)行監(jiān)控、收集保密資料（各類帳戶及口令）、對(duì)使用者電腦中的檔案進(jìn)行掃描、取得電郵地址、跟蹤網(wǎng)民的使用習(xí)慣；使用者操縱諸如運(yùn)算之類的動(dòng)作，以及為了不同的用途而將統(tǒng)計(jì)資料傳回遙控指揮，等等，所以使用者所說的每一句話或每句話，都有可能被搜集。它是一種用戶端軟件，用來展示使用者的行為資訊，并且將搜集到的資料傳送給遠(yuǎn)端電腦。危險(xiǎn)：除了在采集數(shù)據(jù)的過程中降低電腦的速度之外，還比其他的“流氓軟件”更具攻擊性，它會(huì)通過一套特定的方法，從使用者的電腦中獲取使用者的口令信息等資料，其中一些資料還被用來獲取商業(yè)利潤。一些資料被用于對(duì)他人的非法占有。表現(xiàn)：一些假冒的網(wǎng)絡(luò)釣魚程序以及冒充銀行網(wǎng)址的網(wǎng)址來欺騙使用者遞交帳戶及密碼，當(dāng)使用者遞交資料后，帳號(hào)及密碼便會(huì)傳送至攻擊者手中。行為記錄軟件：該程序是一種在沒有經(jīng)過用戶允許的情況下，對(duì)用戶的隱私資料進(jìn)行竊取、分析，并且將用戶的電腦操作和上網(wǎng)閱讀習(xí)慣等個(gè)人行為進(jìn)行記錄的一種程序。特點(diǎn)：在沒有經(jīng)過使用者允許的情況下，它會(huì)對(duì)使用者的各項(xiàng)隱私資料進(jìn)行統(tǒng)計(jì)，并將這些資料進(jìn)行歸類，并將其“出售”到特定的商務(wù)公司或者組織中，供其進(jìn)行相應(yīng)的宣傳或其他業(yè)務(wù)，從而獲得不法利益。危害：侵害了使用者的個(gè)人資料，擾亂使用者的正常瀏覽，并有被黑客用作網(wǎng)絡(luò)欺詐的工具。表現(xiàn)：該程序?qū)?duì)用戶所瀏覽的站點(diǎn)進(jìn)行后臺(tái)統(tǒng)計(jì)，并對(duì)其進(jìn)行分析，將其進(jìn)行歸類，并將其發(fā)送到專業(yè)的商務(wù)企業(yè)或者組織中，比如一家營銷研究公司可以在許多站點(diǎn)上打出廣告，再利用cookies來追蹤用戶的瀏覽行為；以此來研究使用者的一些行為特點(diǎn)。在此基礎(chǔ)上生成一個(gè)彈出框歡迎詞，并向其推薦相應(yīng)的商品。惡意共享軟件：惡意共享軟件是指某些共享程序?yàn)楂@得利潤，通過誘騙或嘗試設(shè)置陷阱來迫使使用者登錄，或者將各類未被許可的插件綁定到用戶電腦中。如果強(qiáng)行讓使用者在試驗(yàn)中登記，則會(huì)造成私人資料或其它資料的損失。整合了外掛程式的軟件，可以攔截使用者的瀏覽器，盜取個(gè)人資料。特點(diǎn)：該惡意分享程序本質(zhì)上具有某種實(shí)際意義，通常通過誘騙手段、試用陷阱等手段迫使使用者登錄，或者將上述各種流氓程序與它的軟件相結(jié)合，在沒有得到許可的情況下，就把它們裝進(jìn)了使用者的計(jì)算機(jī)中。惡意卸載是指在使用者沒有明示或沒有經(jīng)過使用者同意的情況下，誤導(dǎo)或欺騙使用者卸載其他軟體。危險(xiǎn)：在試用期間，如果使用者沒有繳納一定的費(fèi)用，就有可能失去自己的信息和其他信息，與之綁定的流氓程序也會(huì)給電腦帶來危險(xiǎn)。在此基礎(chǔ)上，提出了一種新的安全策略，即：通過對(duì)不同類型的軟件進(jìn)行不同程度的攻擊，使不同類型的軟件在使用過程中產(chǎn)生沖突。表現(xiàn)：有些金融產(chǎn)品，試用期間內(nèi)的財(cái)務(wù)信息全部遺失，僅需支付一定費(fèi)用就可以重新購買此軟件。自動(dòng)撥號(hào)類軟件：它是一種程序，在使用者不需要任何命令的情況下，它就會(huì)把設(shè)定好的電話號(hào)碼撥出來。對(duì)使用者造成了直接的經(jīng)濟(jì)損失。這種電話一般都是打長途，或是語音通話，收費(fèi)很高。鏈接：有的時(shí)候，我們想要點(diǎn)開某個(gè)影片的連接來進(jìn)行下載，或是某個(gè)應(yīng)用程序的連接來進(jìn)行下載，如果我們點(diǎn)開了這個(gè)頁面的一個(gè)連接，就會(huì)被迫首先連接到一個(gè)違法的站點(diǎn)上，在那里有很多沒有發(fā)送的消息，還有一些色情軟件的建議，乃至違法的違法行為；這種“流氓軟件”的出現(xiàn)，不僅會(huì)極大地?fù)p害使用者的網(wǎng)絡(luò)使用感受，而且還給很多不法分子打廣告，宣傳信息。捆綁下載：捆綁軟件這個(gè)概念我們都很清楚，電腦使用者會(huì)從網(wǎng)上下載符合自己需要的程序，然后按照正常的網(wǎng)址樣式和特征進(jìn)行復(fù)制；大量的病毒被傳播到了網(wǎng)上，很多電腦使用者根本分辨不出真假，就會(huì)在網(wǎng)上下載一些假的程序。只要用戶點(diǎn)開一個(gè)綁定的軟件，它就會(huì)給你的電腦上安裝各種盜版軟件、詐騙軟件，還會(huì)把你的電腦上的病毒傳播出去，這些軟件通常都是很難下載的，這種綁定的軟件不但會(huì)極大地消耗電腦的內(nèi)存和儲(chǔ)存；同時(shí)也存在著巨大的潛在危險(xiǎn)，這就是最具代表性的“流氓軟件”。3.4“流氓軟件”運(yùn)行原理和技術(shù)的研究3.4.1流氓軟件的工作原理為何有很多正式的軟件及網(wǎng)絡(luò)公司，都對(duì)不良軟體趨之若鶩。首先，互聯(lián)網(wǎng)可以為許多企業(yè)帶來商業(yè)機(jī)會(huì)。如今，隨著獲取更多的關(guān)注以及增加訪問量，流量對(duì)于一個(gè)軟件乃至一個(gè)公司來說都是非常關(guān)鍵的。無論網(wǎng)絡(luò)上的創(chuàng)意有多好，它都不能維持企業(yè)長久的發(fā)展。于是，隱藏在互聯(lián)網(wǎng)中的龐大利益，讓“流氓軟件”得以持續(xù)的發(fā)展下去。無論在現(xiàn)有的刑法或民事法律中，都無法為其提供良好的規(guī)范與邊界。對(duì)于何謂“流氓”軟件、“其質(zhì)量特性”、“其存在與否”等問題，一直有爭論。盡管業(yè)界組織也在自發(fā)地進(jìn)行自我約束，但是在道德和利潤之間，它們往往屈服于后者?？梢哉f，正是由于這些法律法規(guī)的缺失，使得“流氓”軟件有了可乘之機(jī)。然而，“流氓軟件”并非毫無價(jià)值，也無法被消滅。相反，許多網(wǎng)民卻對(duì)“流氓軟件”產(chǎn)生了濃厚的興趣。就拿3721網(wǎng)絡(luò)助理來說，當(dāng)時(shí)其網(wǎng)絡(luò)服務(wù)可以達(dá)到90%中國的互聯(lián)網(wǎng)用戶，就是由于有IE瀏覽器的修補(bǔ)，軌跡整理，廣告封鎖、安全保護(hù)，插件管理等特性，對(duì)于廣大網(wǎng)民，尤其是初學(xué)者來說，十分實(shí)用。許多網(wǎng)民稱其為“綠色網(wǎng)絡(luò)工具”。當(dāng)然，由于有了這樣的特性，盜取用戶的個(gè)人信息變得更加容易。所以，在部分網(wǎng)民的擁護(hù)下，“流氓軟件”繼續(xù)耍流氓的理由之三。按照這種觀點(diǎn)，“流氓軟件”在短期之內(nèi)將不會(huì)消亡，但仍將有較大的發(fā)展空間。傳統(tǒng)的公司不能從諸如電腦病毒之類的黑客經(jīng)濟(jì)中逃脫，原因是“流氓軟件”與計(jì)算機(jī)病毒有著巨大的差異。首先，電腦病毒是一種程式，它可以使系統(tǒng)功能受到損害，造成使用者資料的損壞，或是造成其它的不良影響。這種程式一般都會(huì)對(duì)電腦的用途造成影響，而且可能會(huì)自行產(chǎn)生。官方的軟件是為了讓使用者更好地利用電腦來工作、休閑，而對(duì)大眾公開的軟件?！傲髅ボ浖苯橛趦烧咧g。它包含了普通功能（下載、播放音樂等）和對(duì)使用者造成實(shí)際損害的惡意操作（播放廣告、開啟后門程序等）。但是，很多防毒軟件都不能偵測到這一點(diǎn)。2011年3月3日——據(jù)英國《金融時(shí)報(bào)》報(bào)道，由于流氓軟件對(duì)安卓操作系統(tǒng)的影響智能手機(jī)，美國科技集團(tuán)谷歌（NASDAQ:GOOG）本周不得不從其Android市場撤回55個(gè)應(yīng)用程序。3.4.2軟件的主要入侵方式(1)利用ActiveX插件，通過對(duì)惡意站點(diǎn)的訪問，將有關(guān)的鏈接導(dǎo)入到客戶端。(2)將所述設(shè)備通過一種軟件進(jìn)行打包的方式進(jìn)行安裝；(3)被黑客和惡意軟件主動(dòng)入侵。3.4.3運(yùn)行原理及過程“流氓軟件”是由惡意程序在客戶端上安裝的，只有在系統(tǒng)允許的情況下才能實(shí)施它的惡意操作（如：在存儲(chǔ)器中運(yùn)行或者啟動(dòng)時(shí)自動(dòng)啟動(dòng)）?！傲髅ボ浖币紫缺话惭b在電腦上，而安裝的過程就是對(duì)改程序進(jìn)行相應(yīng)的解壓操作，接著就是要執(zhí)行安裝程式、拷貝檔案的流程；為了實(shí)現(xiàn)“流氓軟件”的啟動(dòng)或駐留記憶，在設(shè)置進(jìn)程中，不可避免地要修改登錄。這種方式可以在啟動(dòng)后自動(dòng)執(zhí)行，將代碼導(dǎo)入儲(chǔ)存在記憶中，并在它執(zhí)行時(shí)持續(xù)執(zhí)行惡意行為。它和普通的軟件的安裝和操作有很大的不同之處：它在安裝時(shí)沒有得到使用者的許可或者在使用者不知情的情況下進(jìn)行。而且在安裝之后，它并沒有像正常的軟件那樣，在一個(gè)明確的位置（比如桌面，開始的程序菜單）上建立連接，并且其為卸載設(shè)置各種阻礙。它的惡意行為執(zhí)行流程大致可以歸納為：利用多種途徑將病毒導(dǎo)入到使用者端-安裝-更改系統(tǒng)檔案（例如登錄等）-執(zhí)行一系列的惡意行為。3.5流氓軟件與病毒軟件的區(qū)別如果電腦病毒是黑的，而“流氓軟件”則是灰的。這兩個(gè)讓人聞風(fēng)喪膽的應(yīng)用，到底有什么不同？為何不干脆稱其為一種病毒，而將其單獨(dú)列出呢？下文將從目的性、破壞度和傳染性和使用后果來將兩種軟件進(jìn)行對(duì)比：3.5.1目的不同“流氓軟件”侵害使用者的動(dòng)機(jī)多為商業(yè)利潤驅(qū)動(dòng)，而電腦病毒侵害多為惡作劇、炫耀和報(bào)復(fù)以及政治軍事等目的；以破壞或摧毀敵方電腦系統(tǒng)或程式為目標(biāo)。3.5.2破壞程度不同網(wǎng)絡(luò)實(shí)驗(yàn)室對(duì)其進(jìn)行了調(diào)查，結(jié)果顯示：對(duì)用戶產(chǎn)生影響的“流氓軟件”類型有40.73%為廣告類型的“流氓軟件”，行為記錄軟件有7.67%，劫持瀏覽器有9.5%，搜索引擎劫持有7.46%，惡意共享有9.32%。經(jīng)過以上的分析研究，我們發(fā)現(xiàn)，在各種“流氓軟件”中，有74.68%的流氓程序會(huì)對(duì)計(jì)算機(jī)的正常使用造成一定的破壞，間接對(duì)網(wǎng)絡(luò)使用者造成相應(yīng)的損害。而計(jì)算機(jī)病毒則是利用一個(gè)惡意的程序或命令來對(duì)計(jì)算機(jī)系統(tǒng)或數(shù)據(jù)進(jìn)行污染，當(dāng)計(jì)算機(jī)病毒獲得了系統(tǒng)的控制權(quán)之后，就會(huì)讓用戶的電腦死機(jī)、系統(tǒng)崩潰、數(shù)據(jù)或系統(tǒng)文件被破壞、系統(tǒng)的設(shè)置被打亂，進(jìn)而導(dǎo)致電腦不能重新啟動(dòng)。電腦病毒通常會(huì)對(duì)使用者造成巨大的經(jīng)濟(jì)損失。3.5.3傳染性“電腦病毒”和“流氓軟件”最大的區(qū)別就是它會(huì)傳染，而“流氓”則不會(huì)傳染。計(jì)算機(jī)病毒通過網(wǎng)頁，電子郵件，移動(dòng)存儲(chǔ)設(shè)備等傳播，能夠引起計(jì)算機(jī)與軟件之間的感染，以及計(jì)算機(jī)與計(jì)算機(jī)之間的感染。盡管某些“流氓軟件”已經(jīng)具有了“病毒”的特性，但是它們與普通的計(jì)算機(jī)病毒還是存在著根本的不同。“流氓軟件”的“病毒”特性主要表現(xiàn)為利用Root訪問等方式來實(shí)現(xiàn)自身的安全防護(hù)。一旦使用者的電腦中了該病毒，該病毒就會(huì)在后臺(tái)中自行執(zhí)行，并在其上安裝“流氓軟件”。此外，“流氓軟件”在安裝之后，還可以通過網(wǎng)絡(luò)自動(dòng)地下載并執(zhí)行該程序，但這種行為并非是一種感染。國家反計(jì)算機(jī)入侵和防病毒總工程師金波明確指出，“流氓軟件”并不適用于“電腦病毒”，電腦病毒是一種可以自行復(fù)制使用的命令和代碼，它是一種編寫或嵌入的電腦程序，使電腦的性能受到損害或損壞。而‘流氓軟件’沒有自我復(fù)制性”。3.5.4使用后果“流氓軟件”在具備一定的實(shí)用性的基礎(chǔ)上，也會(huì)生成一些惡意的活動(dòng)。而這些實(shí)用的功能會(huì)在使用者不經(jīng)意間觸發(fā)傳播，進(jìn)而使得其能夠在網(wǎng)絡(luò)上大肆傳播。但這種病毒，卻是毀滅性的，純粹是為了毀滅，并不會(huì)給使用者帶來什么好處。4流氓軟件發(fā)展的原因4.1巨大的商業(yè)利益“流氓軟件”能夠使一個(gè)站點(diǎn)在較短的時(shí)間內(nèi)獲得大量的用戶數(shù)量和網(wǎng)頁流量，從而產(chǎn)生較高的虛擬流量，虛高點(diǎn)擊量，從而提升了網(wǎng)站的市場價(jià)值或者是吸引了更多的投資。由于中國目前的共享服務(wù)體系還不夠健全，使得共享型軟件的開發(fā)者難以從其注冊(cè)費(fèi)用中獲利，只能通過與“流氓軟件”進(jìn)行綁定來賺取利益?！傲髅ボ浖敝圃煺吆凸蚕碥浖圃煺咭怨蚕砭W(wǎng)絡(luò)或關(guān)聯(lián)企業(yè)所提供之收益。根據(jù)研究，每個(gè)插入程序成功安裝在用戶電腦上，廣告公司都要向插入程序公司支付0.05到0.3之間的費(fèi)用。一款插件“落戶”一千萬臺(tái)計(jì)算機(jī)，軟件公司就能獲得五十萬到三百萬的利潤。一臺(tái)PC強(qiáng)制窗口的價(jià)格是6元一個(gè)IP，按照一千萬的安裝人數(shù)來看，一天一個(gè)廣告，一天就是六萬塊錢。在如此巨額利益的驅(qū)使下，大量的“愛好者”致力于此類“流氓軟件”的研發(fā)與分發(fā)，最終導(dǎo)致我們的使用者淪為了無辜的犧牲品。周鴻神是最早開發(fā)插件的開發(fā)者，也是3721實(shí)名推廣人之一，從中獲利頗豐。在實(shí)名制建設(shè)高峰時(shí)期，安裝了七千萬臺(tái)電腦，中國網(wǎng)民中有90%以上都在有意識(shí)或無意識(shí)地使用了“實(shí)名認(rèn)證”。根據(jù)周鴻諱的說法，目前3721網(wǎng)絡(luò)實(shí)名每年能夠收入2億元，這其中還不算給予渠道合作公司的2億元。4.2用戶安全意識(shí)缺乏流氓軟件的主要特點(diǎn)是在網(wǎng)絡(luò)上進(jìn)行秘密的傳播。在“流氓軟件”發(fā)展的初始時(shí)期，大多數(shù)的“流氓軟件”都是“靜悄悄”地進(jìn)行侵入，而不會(huì)被使用者發(fā)現(xiàn)或抗拒。其中有些是應(yīng)用類的，它可以為使用者實(shí)現(xiàn)實(shí)名制瀏覽、幫助查找、IE修復(fù)等功、清除使用軌跡、攔截廣告、安全防止插件、以及其他一些有用的特性，這些都讓使用者在享用這些自由的軟件之余，放松了警惕。2004的一項(xiàng)調(diào)查顯示，70%以上的使用者并沒有意識(shí)到電腦上正在使用“流氓軟件”。一項(xiàng)針對(duì)150位網(wǎng)絡(luò)用戶的問卷顯示，94%的用戶已知曉“流氓軟件”超過一年，63%的用戶為兩年或兩年以上，而令人意想不到的是，只有61%的用戶發(fā)現(xiàn)了“流氓軟件”。4.3廠家道德意識(shí)淡薄因?yàn)槿狈Φ赖乱庾R(shí)，以及技術(shù)的濫用，導(dǎo)致了“流氓軟件”的出現(xiàn)，給人們帶來了很大的安全性和隱私方面的威脅。一臺(tái)IE瀏覽器的安全性不高的電腦，很有可能會(huì)在不經(jīng)意間瀏覽到惡意網(wǎng)站，進(jìn)而使得“流氓軟件”自行安裝到電腦上，其主要的載體是微軟ActiveX技術(shù)。ActiveX是微軟通過集成IE和操作系統(tǒng)而研發(fā)的一種新的技術(shù)，可以讓IE進(jìn)行很多其他軟件無法完成的事情，比如播放動(dòng)畫，播放音樂，修改系統(tǒng)注冊(cè)等。自從IE進(jìn)入了瀏覽器領(lǐng)域之后，ActiveX就成為了眾多程序員的眼中釘，一些程序員的作品，就成為了“流氓軟件”，被大眾所痛恨。BHO是BrowserHelperObjects（BrowserHelperObjects）的縮寫，是IE的插件式技術(shù)。微軟之所以會(huì)提供這樣一個(gè)界面，就是為了讓程序員能夠更好地使用自己的瀏覽器，讓自己的程序變得更加簡單，而BHO也能夠做到所有的流氓軟件，最突出的就是“瀏覽器劫持”。每次打開一個(gè)新的瀏覽器，都會(huì)先檢查登錄中心對(duì)應(yīng)的地方，看看有沒有已登記的H0CIJSID，若存在，就單獨(dú)地生成一個(gè)新的樣本，然后將BHO的例子初始化，并在此基礎(chǔ)上，建立一個(gè)互動(dòng)的鏈接。BHO一旦建立，不但能獲得不同的規(guī)范動(dòng)作，而且能作出反應(yīng)。您也可以自定義您的介面要素，如菜單，工具欄等。甚至還可以設(shè)置hook功能來監(jiān)控你的瀏覽器的每一個(gè)動(dòng)作。而黑客就是通過這種方式，來監(jiān)視網(wǎng)絡(luò)上的一切活動(dòng)和資料。4.4相關(guān)法律不建全“流氓軟件”未經(jīng)使用者許可擅自采集數(shù)據(jù)，嚴(yán)重危害了使用者的隱私。通過分析，我們可以看出，目前我國的刑法和民法均未對(duì)“流氓軟件”作出有效的規(guī)范，對(duì)于何為“流氓軟件”和“流氓軟件”究竟具備怎樣的本質(zhì)特征，“流氓軟件”是否屬于非法，尚無專門的行政機(jī)關(guān)對(duì)其進(jìn)行規(guī)范。我國現(xiàn)行立法對(duì)“流氓軟件”沒有一個(gè)清晰的定義，各部門之間也沒有相應(yīng)的規(guī)范，所以目前還沒有一個(gè)具體的立法來規(guī)范這種行為。所以，在網(wǎng)絡(luò)用戶與反病毒軟件高舉反“流氓軟件”的大旗之后才發(fā)覺，當(dāng)前在司法中，對(duì)于“流氓軟件”的界定并不清晰；如果進(jìn)行相應(yīng)的訴訟，不僅得不到任何的法律保障，而且還會(huì)被指控不公平競爭的罪名，有可能受到相應(yīng)的法律威脅?？偠灾傲髅ボ浖钡凝嫶罄麧?、網(wǎng)絡(luò)使用者的安全防護(hù)意識(shí)薄弱、軟件企業(yè)道德概念薄弱；再加上政府對(duì)此缺乏相應(yīng)的法規(guī)，這才使得網(wǎng)絡(luò)上的“流氓軟件”變得更加猖獗。5流氓軟件的預(yù)防技術(shù)5.1流氓軟件的典型軟件行為有些“流氓軟件”的典型表現(xiàn)就是這些“流氓軟件”在登錄時(shí)所做的某些惡意行為。首先，我們要對(duì)注冊(cè)表有一個(gè)大致的認(rèn)識(shí)，注冊(cè)表其實(shí)就是一個(gè)數(shù)據(jù)庫，里面存放著很多的參數(shù)表，其中還存儲(chǔ)著應(yīng)用軟件過程的相關(guān)配置信息和控制命令，而且有些特定的操作也是由此而來，例如，應(yīng)用程序的開機(jī)啟動(dòng)指示，所有的命令都來自于此。注冊(cè)表是操作系統(tǒng)的一個(gè)關(guān)鍵部分，沒有了注冊(cè)表，整個(gè)過程就會(huì)混亂，而且它的信息系統(tǒng)也不能被訪問，這就包含了與該應(yīng)用程序相關(guān)的運(yùn)行信息；比如，某些應(yīng)用程式的初始化標(biāo)準(zhǔn)，以及其他資料的卸載，都會(huì)保存在注冊(cè)表中。由于注冊(cè)表控制了所有設(shè)備的相關(guān)操作，所以對(duì)其進(jìn)行集中防護(hù)也很重要。很多“流氓軟件”都是以注冊(cè)表為核心的，通過惡意的寫入和修改注冊(cè)表來達(dá)到自己的目標(biāo)，它的目標(biāo)是：（1）通過對(duì)注冊(cè)表進(jìn)行某些處理，可以獲得諸如QQ的發(fā)行版等系統(tǒng)信息，例如，包含了該應(yīng)用程序的存儲(chǔ)路徑以及起始數(shù)據(jù)等等。這種“流氓軟件”主要是為了發(fā)現(xiàn)電腦系統(tǒng)和其它應(yīng)用程序自身存在的缺陷，并通過這些缺陷滲透到操作系統(tǒng)中來進(jìn)行某些違法活動(dòng)。（2）當(dāng)一個(gè)“流氓軟件”為了達(dá)到可以自動(dòng)啟動(dòng)，或是長期駐留在使用者電腦的存儲(chǔ)器中時(shí)，就需要通過注冊(cè)表來完成。當(dāng)使用者電腦啟動(dòng)自動(dòng)加載其系統(tǒng)注冊(cè)表指定項(xiàng)下的應(yīng)用軟件程序以及其中的系統(tǒng)服務(wù)項(xiàng)時(shí)，僅通過向注冊(cè)表中寫出自己要實(shí)現(xiàn)的功能信息的有關(guān)指令，就可以悄無聲息地開啟，這樣的行為非常隱秘，即使是殺毒軟件也難以察覺。所以，當(dāng)一個(gè)“流氓軟件”擁有了操縱這個(gè)功能的鍵值時(shí)，就可以神不知鬼不覺地進(jìn)入到系統(tǒng)的程序中，為以后的“破壞”創(chuàng)造條件。（3）若要更改系統(tǒng)的某些結(jié)構(gòu)，或要執(zhí)行對(duì)其他的應(yīng)用程序的操作，則需要對(duì)注冊(cè)表與其他應(yīng)用程序相對(duì)應(yīng)的特定鍵值進(jìn)行更改，也唯有如此，它可以查找到相應(yīng)的載體，從而將流氓軟件的exe文件路徑隱藏起來，從而達(dá)到對(duì)使用者計(jì)算機(jī)的各種破壞性行為：對(duì)IE瀏覽器的安全選項(xiàng)進(jìn)行不合法的操作，例如阻止IE的正常執(zhí)行，或開啟某些安全選項(xiàng)。不能與其它軟件一起運(yùn)行（所有的不法操作都依賴于注冊(cè)表）。因?yàn)殒I值對(duì)于注冊(cè)表很關(guān)鍵，所以我們?cè)诖撕喴赜懻撘幌伦?cè)表的鍵值。注冊(cè)表的鍵值都是根據(jù)某種邏輯次序和特殊的層級(jí)結(jié)構(gòu)來保存的，在學(xué)習(xí)數(shù)據(jù)結(jié)構(gòu)時(shí)，大家都知道，電腦中的全部資料都象一個(gè)目錄那樣，以樹狀的形式存放在一起；當(dāng)然，在登錄中心中也有這樣的結(jié)構(gòu)，因?yàn)樽?cè)表中的每一個(gè)鍵值所蘊(yùn)含的信息都是不同的，比如我們可以將hkey_users和hkey_current_user作為一個(gè)比較，hkey_users和hkey_current_user，第一個(gè)功能是存儲(chǔ)用戶的預(yù)配置信息，另外還可以存儲(chǔ)使用者的密碼表和特殊的用戶身份，并且只有通過這個(gè)關(guān)鍵字才能進(jìn)行遠(yuǎn)程訪問。這個(gè)功能是為了保存目前登錄者的有關(guān)資訊，例如目前登錄者的使用者名稱，以及某些臨時(shí)的登入密碼。5.2遏止流氓軟件運(yùn)行的系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)針對(duì)遏止流氓軟件系統(tǒng)的具體運(yùn)用，由于應(yīng)用軟件種類繁多，每一個(gè)應(yīng)用程序的結(jié)構(gòu)和功能都十分的繁瑣，所以很難對(duì)全部的應(yīng)用程序進(jìn)行設(shè)計(jì)，另外，要為每一個(gè)應(yīng)用軟件實(shí)體構(gòu)建一個(gè)標(biāo)準(zhǔn)的程序的正常行為模型，其工作量也是十分巨大的，就算能夠完成，它還將含有很多多余的信息。所以，我們可以采用對(duì)程序的操作進(jìn)行實(shí)時(shí)監(jiān)測的方式，在它還沒有進(jìn)行損害的時(shí)候，將它給攔截下來，這樣就可以防止它對(duì)電腦造成傷害。要遏止這種有害的行為，就需要在其實(shí)施相應(yīng)的危害活動(dòng)前，將其扼殺在萌芽狀態(tài)。根據(jù)其對(duì)“流氓軟件”的界定，對(duì)要執(zhí)行的應(yīng)用程序進(jìn)行分析，認(rèn)為要執(zhí)行的應(yīng)用程序是一種具有積極行為的主體，而其所處的電腦則是一種被操縱的對(duì)象，那么遏止流氓軟件系統(tǒng)所要實(shí)現(xiàn)的動(dòng)態(tài)驗(yàn)證的基本概念模型如下圖1所示。圖1遏止流氓軟件系統(tǒng)的基本概念模型當(dāng)一個(gè)程序要被執(zhí)行時(shí)，將其看成一個(gè)主動(dòng)運(yùn)行的主題對(duì)象，計(jì)算作為被操縱的對(duì)象。使用者（對(duì)象）通過對(duì)程序的行為特性進(jìn)行確認(rèn)，并通過截取到的應(yīng)用程序的行為特點(diǎn)來判定，如果應(yīng)用程序存在對(duì)注冊(cè)表進(jìn)行了惡意的更改，則該應(yīng)用程序?qū)⒈荒繕?biāo)計(jì)算機(jī)的約束型“流氓軟件”所禁止。約束“流氓軟件”可以讓它正常運(yùn)作，并且不會(huì)對(duì)目標(biāo)電腦進(jìn)行惡意更改，也不會(huì)給電腦帶來危險(xiǎn)。攔截程序中的程序行為，通常采用攔截程序的方式，對(duì)此我們將在后面的章節(jié)中對(duì)其進(jìn)行具體描述。對(duì)于應(yīng)用軟件的監(jiān)控，抑制“流氓軟件”的運(yùn)行，是通過監(jiān)控注冊(cè)表的動(dòng)態(tài)變化來判定的，若對(duì)注冊(cè)表的更改是由普通的程序（通過了SHA1數(shù)據(jù)庫的認(rèn)證）運(yùn)行的，則不會(huì)被阻止；而對(duì)于疑似的“流氓軟件”，在未得到使用者許可的情況下，也會(huì)將其禁用。這是唯一能阻止“流氓軟件”進(jìn)入計(jì)算機(jī)的方法。5.3WindowsAPI攔截技術(shù)研究WindowsAPI攔截的主要目的是想提前一些對(duì)用戶應(yīng)用程序傳遞的某些數(shù)據(jù)進(jìn)行處理，通過反饋回來的處理結(jié)果決定是否再調(diào)用原來的API函數(shù)。API攔截的原理可以分為以下兩步：第一步先在目標(biāo)進(jìn)程以動(dòng)態(tài)鏈接庫的形式保留被截獲的API代碼，這樣做的目的是決定最后調(diào)用的時(shí)候再將代碼提取出來，第二步是讓系統(tǒng)在調(diào)用我們截獲的代碼之前先調(diào)用我們寫好的替代代碼，這是通過修改目標(biāo)進(jìn)程里面的代碼來實(shí)現(xiàn)的。攔截程序一般先要經(jīng)過管理服務(wù)器，然后就是對(duì)某些相應(yīng)的dll進(jìn)行攔截。HANDLEWINAPIOpenProcess(DWORDdwDesiredAccess,//accessflagBOOL.bInheriHandle,/InheritanceflagDWORDdwProcesslu);//processidAPI函數(shù)攔截的過程簡要概括來說主要有以下三點(diǎn)要做：（1）決定哪些進(jìn)程的API函數(shù)是我們要攔截的對(duì)象，不同的攔截對(duì)象，我們采取的措施也是不一樣的，舉個(gè)例子我們只要在個(gè)別進(jìn)程中插入攔截的dll代碼，就能實(shí)現(xiàn)對(duì)這些個(gè)別進(jìn)程的API函數(shù)進(jìn)行攔截；（2）決定采用哪種DLL注入方法才是最恰當(dāng)?shù)模珼LL代碼的注入技術(shù)有許多，被寫驅(qū)動(dòng)層的程序員所熟知的也就是最常被用到的有兩種：一種是操作系統(tǒng)的全局鉤子技術(shù)(Windowshook)，另一種是利用其它的API函數(shù)來對(duì)相應(yīng)的DLL進(jìn)行注入；（3）采用哪種恰當(dāng)API攔截機(jī)制才是最合理的，可以從內(nèi)核層和用戶層中選擇進(jìn)行，這要看應(yīng)用程序?qū)崿F(xiàn)功能的操作范圍了，但是為了安全和快速起見一般都是在內(nèi)核層中進(jìn)行。API函數(shù)是Windows操作系統(tǒng)提供給編程人員的供其為實(shí)現(xiàn)應(yīng)用程序某個(gè)特定功能而進(jìn)行調(diào)用的應(yīng)用程序接口。通過對(duì)系統(tǒng)API函數(shù)的調(diào)用用戶的應(yīng)用程序可以實(shí)現(xiàn)各種想要實(shí)現(xiàn)的系統(tǒng)功能，而且使用起來非常的方便和準(zhǔn)確，因?yàn)橛袡?quán)利的約束所以對(duì)操作系統(tǒng)也不會(huì)造成任何破壞，而且用戶應(yīng)用程序申請(qǐng)某些系統(tǒng)服務(wù)的步驟是有條理的。用戶的應(yīng)用程序使用操作系統(tǒng)中的很大一部分資源都是通過這個(gè)函數(shù)來實(shí)現(xiàn)的，當(dāng)然要實(shí)現(xiàn)對(duì)注冊(cè)表的操作也不例外。HOOK又名鉤子，顧名思義是用來釣?zāi)承〇|西的，它是操作系統(tǒng)提供的消息處理機(jī)制，編程人員一般用它來監(jiān)視系統(tǒng)的一些操作消息。執(zhí)行HOOK操作同樣可以監(jiān)視進(jìn)程對(duì)API函數(shù)的調(diào)用。API函數(shù)的鉤子不但可以對(duì)應(yīng)用程序內(nèi)存映像進(jìn)行攔截從而可以對(duì)API調(diào)用進(jìn)行重定向并且可以同時(shí)改變應(yīng)用程序在內(nèi)核層的具體流程，而且還可以控制應(yīng)用程序?qū)PI函數(shù)的調(diào)用。HOOK技術(shù)通常被分為兩類：一是用戶級(jí)別的API鉤子；二是內(nèi)核級(jí)別的API鉤子。前者是在操作系統(tǒng)的用戶層管理模式下面工作的；而后者是通過驅(qū)動(dòng)程序來實(shí)現(xiàn)的。它的原理也很簡單，但實(shí)現(xiàn)起來較復(fù)雜。要在其他的進(jìn)程中注入dll，就要求我們能在那個(gè)進(jìn)程中調(diào)用LoadLibrary()API，但我們沒有權(quán)限獲得其他進(jìn)程的執(zhí)行控制權(quán)，幸好微軟提供了一個(gè)函數(shù)CreateRemoteThread()可以在其他的進(jìn)程中創(chuàng)建遠(yuǎn)程線程，而恰好線程函數(shù)的原型：DWORDWINAPIThreadProc(LPVOIDlpParameter);和LoadLibrary()的原型:HMODULEWINAPILoadLibrary(LPCTSTRlpFileName);HMODULE和DWORD都是雙字節(jié)，調(diào)用方式都是WINAPI，LPVOID和LPCTSTR都是雙字節(jié)指針，所以函數(shù)原型是一樣的。從而利用CreateRemoteThread()來欺騙操作系統(tǒng)，使其執(zhí)行LoadLibrary()API，如下：hThread=::CreateRemoteThread(hProcessForHooking,//要插入dll的進(jìn)程句柄NULL,0,pfnLoadLibrary,//LoadLibrary函數(shù)的地址"C:\\HookTool.dll",//要注入的dll的全路徑0,NULL);可以看出，采用這種方法的一個(gè)主要困難是要監(jiān)視進(jìn)程的創(chuàng)建和關(guān)閉，這樣才能確保在所有的目標(biāo)進(jìn)程中注入dll，有關(guān)這部分的內(nèi)容可以參考。關(guān)于遏止流氓軟件系統(tǒng)的開發(fā)，主要設(shè)計(jì)思想是：流氓軟件的侵入系統(tǒng)和安裝都無法徹底和注冊(cè)表脫離關(guān)系，這是系統(tǒng)的核心，因此可以在流氓軟件修改注冊(cè)表之前對(duì)其進(jìn)行攔截，從而達(dá)到阻止流氓軟件進(jìn)入系統(tǒng)從而對(duì)系統(tǒng)破壞。通過客戶端對(duì)應(yīng)用軟件行為的監(jiān)測方法的研究，將系統(tǒng)獲得的應(yīng)用軟件的SHA1值和名稱經(jīng)過DES加密后發(fā)給服務(wù)器端，在服務(wù)器端檢測這個(gè)應(yīng)用軟件是否是正常合法的，利用監(jiān)測應(yīng)用軟件的行為是否有對(duì)注冊(cè)表做非法修改，來判斷應(yīng)用軟件的流氓性，從而阻止流氓軟件對(duì)計(jì)算機(jī)的破壞。這個(gè)系統(tǒng)將SHA1數(shù)據(jù)庫從客戶端分離出來，放在了服務(wù)器端，這樣有很多方便之處，一方面避免了許多客戶端的電腦冗余的數(shù)據(jù)存儲(chǔ)，另一方面對(duì)于數(shù)據(jù)庫的更新也很便利，只需更新一下服務(wù)器端的數(shù)據(jù)庫。另外，本系統(tǒng)還有“自學(xué)習(xí)”的能力，當(dāng)遇到有新的應(yīng)用軟件啟動(dòng)的時(shí)候，客戶端會(huì)利用重新提取信息進(jìn)行驗(yàn)證的過程，以及反饋結(jié)果和用戶判斷相結(jié)合的方式來更新服務(wù)器端的SHA1數(shù)據(jù)庫。為了保證客戶端和服務(wù)器端的交流快捷準(zhǔn)確，本遏止流氓軟件的系統(tǒng)采用了Socket傳輸?shù)南嚓P(guān)技術(shù)。Socket套接字在計(jì)算機(jī)實(shí)際編程的應(yīng)用過程中是起到一個(gè)通信端口的作用，一個(gè)計(jì)算機(jī)客戶端要想和其它計(jì)算機(jī)通信，必須依靠Socket的編程來實(shí)現(xiàn)數(shù)據(jù)的傳輸，Socket技術(shù)為計(jì)算機(jī)編程人員提供了很多接口函數(shù)，這樣對(duì)程序員調(diào)用來說既方便又準(zhǔn)確，而且每個(gè)電腦上都要具有Socket的接口。當(dāng)然如果應(yīng)用軟件里面如果想要實(shí)現(xiàn)功能中具有信息傳輸?shù)墓δ埽ㄖ饕谟?jì)算機(jī)網(wǎng)絡(luò)上傳輸），也必須得通過編寫Socket接口函數(shù)來完成，當(dāng)然上面提到的API函數(shù)調(diào)用后的反饋信息也是由Socket實(shí)現(xiàn)的，實(shí)現(xiàn)過程通常是這樣的當(dāng)計(jì)算機(jī)的一段要發(fā)送數(shù)據(jù)到另一端是時(shí)首先自己要?jiǎng)?chuàng)建一個(gè)Socket套接字，緊接著是使用該套接字的發(fā)送的方法（send方法）對(duì)某個(gè)預(yù)先設(shè)定好的IP端口發(fā)送數(shù)據(jù)，作為接收的另一端計(jì)算機(jī)也要先創(chuàng)建Socket套接字，并且將該套接字綁定一個(gè)特定的IP端口上，如果接收端的電腦有其他端的發(fā)送到這個(gè)端口都會(huì)用接收函數(shù)（receive函數(shù)）對(duì)信息進(jìn)行接收，遏止流氓軟件運(yùn)行的系統(tǒng)原理圖如圖2所示。圖2遏止流氓軟件運(yùn)行的系統(tǒng)原理圖代碼如下所示：Try;#監(jiān)控結(jié)果value是json格式的字符串，轉(zhuǎn)為字典APIs=json.loads(value,strict-False)#方法MTD返回的結(jié)果RET=’‘#調(diào)用了哪些類(CLS中含有NTD)CLS=’’*調(diào)用了類中的哪些方法MTD=#MTD中的參數(shù)ARGS=’’MTD=str(APIs["methad"])CLS=str(APIs[“class"])Print"CalledClass:"+CLSprint"calledMethod:"+MTDifAPIs,get('retuzn'):RET=str(APIs["return"])print"RetuznData:t+RETelse:print“NoReturnData”RET="NoReturnData"IfAPIS.get('args');ARGS=str(APIs["args"])print"PassedArgumenta"+ARGSelse:#print"NoAxnunentsFassed"ARGS="NoArcumentBPassed”*XSSSateD="</br>METHOD:”+escape(MTD)+"</br>ARGUMENTS:"+escape(ARGS)+“</br>RETURNDATA:"+escape(RET)#調(diào)用的方法D屬于哪個(gè)類CLS，展示調(diào)API時(shí)，將對(duì)應(yīng)的方法名、參數(shù)、結(jié)果，羅列到該方法屬于的類下面ifre.findall("android,utll.Base64",CLS);API_BASE64,append(D)ifre.findall('liboore.iojadroid,app.sharedPreferencesImp1isdatorTmpl',CLS);API_FILEIO.append(D)5.4系統(tǒng)的運(yùn)行過程在有一個(gè)應(yīng)用的進(jìn)程要開始執(zhí)行的時(shí)候，抑制流氓軟件的系統(tǒng)會(huì)向驅(qū)動(dòng)層中加入一個(gè)回調(diào)函數(shù)，該回調(diào)函數(shù)的功能是捕捉到應(yīng)用程序要執(zhí)行的一些開始信息，并根據(jù)該消息對(duì)執(zhí)行的完整路徑和進(jìn)程的一些有關(guān)的信息進(jìn)行分析，并將所分析的消息傳送給對(duì)流氓軟件的消息處理模塊，從而實(shí)現(xiàn)該回調(diào)功能的目的。該系統(tǒng)的消息處理模塊攔截所獲得的消息中的應(yīng)用程序的名字，并計(jì)算其程序的SHA1值，并通過該密碼模塊對(duì)該應(yīng)用程序的名字及其SHA1值進(jìn)行加密，然后將該應(yīng)用程序的名字及其SHA1值傳送給該服務(wù)器端。該服務(wù)器端的數(shù)據(jù)庫詢問模塊按照該客戶發(fā)出的信息前往SHA1可信庫中進(jìn)行比對(duì)，該匹配的關(guān)鍵在于利用該程序的名字來尋找SHA1值；根據(jù)比對(duì)的結(jié)果，來反映客戶機(jī)要執(zhí)行的應(yīng)用程式，以確定其為不法軟體的可能性。當(dāng)服務(wù)器端的消息顯示匹配成功，即該應(yīng)用程序并非惡意程序時(shí)，則該客戶機(jī)將其釋放，使該應(yīng)用程序能夠繼續(xù)運(yùn)行。當(dāng)反饋不到匹配，或者該應(yīng)用軟件很大程度上是一個(gè)流氓軟件的時(shí)候，則由客戶端向驅(qū)動(dòng)層發(fā)出命令，要求它持續(xù)監(jiān)視該應(yīng)用的動(dòng)作，當(dāng)它發(fā)現(xiàn)它在更改了注冊(cè)中心的信息之后；然后向使用者顯示有關(guān)的變更資訊，由使用者決定是否準(zhǔn)許變更，若不同意，終止處理，還原登錄資訊；在許可的情況下，客戶機(jī)保持該過程的正常運(yùn)轉(zhuǎn)，向該服務(wù)器端傳送該過程的SHA1值以及該應(yīng)用程序的名字，該服務(wù)器將該應(yīng)用程序名及其SHA1值放在該SHA1庫里。5.5系統(tǒng)應(yīng)用測試5.5.1系統(tǒng)運(yùn)行的環(huán)境遏止流氓軟件系統(tǒng)是在Windows操作系統(tǒng)的平臺(tái)下進(jìn)行研究開發(fā)的，運(yùn)用的開發(fā)工具是VisualStudio2010，測試環(huán)境也是主要在WindowsXP系統(tǒng)下進(jìn)行測試運(yùn)行的。5.5.2系統(tǒng)功能測試現(xiàn)在，按照服務(wù)器端和客戶端兩大部分我們分別進(jìn)行測試，測試結(jié)果如下：首先我們測試一下服務(wù)器端部分：服務(wù)器端先啟動(dòng)監(jiān)聽服務(wù)，服務(wù)器端啟動(dòng)后會(huì)以托盤方式存在服務(wù)器中。服務(wù)器端主要是負(fù)責(zé)查詢?nèi)蝿?wù)的，客戶端會(huì)將應(yīng)用軟件的SHA1信息和其名稱經(jīng)過DES加密后發(fā)到服務(wù)器端，服務(wù)器端接收到以后對(duì)信息進(jìn)行解密，然后將此SHA1與信息庫里面的SHA1信息進(jìn)行比對(duì)，服務(wù)器端驗(yàn)證模塊的運(yùn)行界面如圖3所示。圖3服務(wù)器端驗(yàn)證模塊的運(yùn)行界面點(diǎn)擊開始監(jiān)聽服務(wù)按鈕后，系統(tǒng)就會(huì)進(jìn)入等待狀態(tài)同時(shí)開始監(jiān)聽是否有客戶端發(fā)來連接消息，并且可以接收客戶端發(fā)來的需要驗(yàn)證的信息。當(dāng)點(diǎn)擊關(guān)閉監(jiān)聽服務(wù)的時(shí)候，系統(tǒng)便終止服務(wù)器和客戶端之間的連接，并且不再監(jiān)聽關(guān)于客戶端發(fā)來的消息。當(dāng)用戶點(diǎn)擊查看SHA1庫時(shí)，用戶會(huì)看到服務(wù)器端的SHA1數(shù)據(jù)庫的信息并且可以管理數(shù)據(jù)庫。當(dāng)服務(wù)器端收到客戶端發(fā)來的需要驗(yàn)證的信息時(shí)，在服務(wù)器端會(huì)彈出一個(gè)提示信息對(duì)話框，如圖4服務(wù)器端提示信息的運(yùn)行界面。它會(huì)在服務(wù)器端的計(jì)算機(jī)的右下角彈出來，內(nèi)容如圖所示，包含了應(yīng)用軟件的詳細(xì)信息如應(yīng)用軟件的名稱，應(yīng)用軟件的SHA1值。這個(gè)對(duì)話框只是起提示作用，所以會(huì)設(shè)置在服務(wù)器端停留8秒中，然后自動(dòng)消失。圖4服務(wù)器端提示信息的運(yùn)行界面其次我們測試一下客戶端部分：第一，客戶端啟動(dòng)遏止流氓軟件系統(tǒng)，客戶端同樣可以是托盤的形式存在客戶端的計(jì)算機(jī)界面上，對(duì)流氓軟件的行為（一般是應(yīng)用軟件進(jìn)入注冊(cè)表的行為）截獲的功能都能在計(jì)算機(jī)后臺(tái)運(yùn)行。同時(shí)，如果用戶想退出流氓軟件的遏止系統(tǒng)，也可以通過托盤的圖標(biāo)實(shí)現(xiàn)。第二，客戶端開啟防御服務(wù)。用戶只要點(diǎn)擊開啟防御模式按鈕，該系統(tǒng)就會(huì)進(jìn)入工作狀態(tài)，只要有應(yīng)用軟件試圖修改注冊(cè)表信息，該系統(tǒng)便會(huì)截獲這個(gè)行為，并且會(huì)解析該應(yīng)用軟件進(jìn)程的相關(guān)信息，以及應(yīng)用軟件的SHA1值信息等，并且將截獲的信息，提取出應(yīng)用軟件的名稱和SHA1信息加密后發(fā)送給服務(wù)器端。第三，客戶端遏止流氓軟件系統(tǒng)的監(jiān)聽。如圖5監(jiān)聽界面所示，通過啟動(dòng)防御和暫停防御兩個(gè)按鈕我們可以控制流氓軟件遏止系統(tǒng)在客戶端的運(yùn)行，同時(shí)我們可以看到可疑軟件（就是發(fā)送給服務(wù)器端進(jìn)行驗(yàn)證的那些應(yīng)用軟件）和流氓軟件的列表。關(guān)于流氓軟件的列表的用處，我們會(huì)在經(jīng)過服務(wù)器端驗(yàn)證反饋給客戶端的警示信息那里做相關(guān)的介紹。流氓軟件遏止系統(tǒng)的監(jiān)聽界面同時(shí)會(huì)以列表的形式呈現(xiàn)給用戶，這樣一方面可以使客戶清晰的看清楚每一個(gè)應(yīng)用程序的狀態(tài)及相關(guān)信息，并且這個(gè)監(jiān)視是實(shí)時(shí)更新的，用戶還可以通過選擇某一個(gè)應(yīng)用程序進(jìn)程，右鍵進(jìn)行人為的終止操作。圖5監(jiān)聽界面第四，彈出警示信息，當(dāng)服務(wù)器端將客戶端發(fā)來的信息進(jìn)行驗(yàn)證并將結(jié)果反饋給客戶端之后，如果驗(yàn)證此應(yīng)用軟件不在服務(wù)器端的可信庫里面，那么客戶端便會(huì)彈出這個(gè)警示信息。如圖6警示信息界面所示，警示信息的內(nèi)容包括兩部分：一是提示信息：試圖修改注冊(cè)表的應(yīng)用軟件的存儲(chǔ)路徑，應(yīng)用軟件的進(jìn)程信息；二是客戶的處理信息：僅允許一次訪問，拒絕，同意。僅允許一次訪問是讓應(yīng)用軟件這次運(yùn)行，如果后期發(fā)現(xiàn)其是病毒木馬（也就是殺毒軟件對(duì)其進(jìn)行了處理并且指明其是木馬病毒），下次登錄的時(shí)候仍要彈出警示信息框，這時(shí)候就應(yīng)該指導(dǎo)用戶點(diǎn)擊拒絕，這時(shí)候就需要上面提到流氓軟件的列表的幫助。也就是這個(gè)應(yīng)用軟件再次運(yùn)行的時(shí)候，客戶端的監(jiān)聽界面會(huì)將其與流氓軟件列表進(jìn)行比對(duì)（也就是遍歷一下流氓軟件列表，其實(shí)就是去客戶端數(shù)據(jù)庫中查詢），如果發(fā)現(xiàn)其在列表里，便會(huì)在警示信息里面的“是否在可疑應(yīng)用軟件列表里”出現(xiàn)“是”的標(biāo)記，這樣有利于客戶選擇。如果點(diǎn)擊同意按鈕則應(yīng)用軟件的信息就會(huì)傳給服務(wù)器，服務(wù)器會(huì)將應(yīng)用軟件的信息加入到可信SHA1庫里。圖6警示信息界面所示5.5.3系統(tǒng)性能測試作為一款應(yīng)用軟件我們不僅要測試它的功能的實(shí)現(xiàn)，同時(shí)我們對(duì)系統(tǒng)也要進(jìn)行性能測試，關(guān)于性能測試我們主要從兩方面進(jìn)行了研究，一個(gè)是CPU的使用，另一個(gè)是內(nèi)存的占有。如圖7軟件運(yùn)行前各數(shù)據(jù)顯示，我們可以看到在該系統(tǒng)運(yùn)行前CPU使用是7%，內(nèi)存是918M。圖7軟件運(yùn)行前各數(shù)據(jù)顯示在打開軟件，讓系統(tǒng)運(yùn)行后，我們會(huì)看到如圖8軟件運(yùn)行后各數(shù)據(jù)顯示，我們可以看到在該系統(tǒng)運(yùn)行后CPU使用是12%，內(nèi)存是1048M。圖8軟件運(yùn)行后各數(shù)據(jù)顯示從運(yùn)行前后的數(shù)據(jù)顯示對(duì)比來看，該系統(tǒng)的運(yùn)行基本上不會(huì)消耗很多內(nèi)存，也就是說不會(huì)影響計(jì)算機(jī)的正常工作，給客戶端的計(jì)算機(jī)帶來負(fù)擔(dān)。6流氓軟件的預(yù)防措施6.1提高防范意識(shí)大多時(shí)候，是因?yàn)槭褂谜卟恢离娔X中的病毒是如何擴(kuò)散的，也不知道電腦是如何被傳染的，進(jìn)而導(dǎo)致其會(huì)感染給其他使用者。惡意程序有多種途徑進(jìn)行傳播，可以通過網(wǎng)絡(luò)，也可以通過物理媒介等方式進(jìn)行。想要阻止病毒軟件的傳播，就必須從增強(qiáng)安全防護(hù)意識(shí)開始，深刻認(rèn)識(shí)到惡意程序的危害，要時(shí)刻保持對(duì)潛在的安全隱患的警覺，比如：平時(shí)在網(wǎng)上不能隨意地瀏覽某些網(wǎng)站，在使用未知的文檔時(shí)，要用殺毒軟件將其清除干凈，同時(shí)也要避免隨意查看電子郵件中所攜帶的附加信息，尤其要對(duì)移動(dòng)存儲(chǔ)裝置的安全保持高度關(guān)注。上述方法能有效地防止惡意程序及病毒對(duì)計(jì)算機(jī)的影響。6.2使用正版軟件在下載軟件時(shí)，一定要分清哪些是官方正版，哪些可能是帶有“流氓軟件”的網(wǎng)站。QQ是我們最常見的聊天工具，如果你在網(wǎng)絡(luò)上輸入QQ，那么就會(huì)出現(xiàn)很多的選擇，我們需要特別關(guān)注的是“官方”這兩個(gè)字，這個(gè)網(wǎng)站的首頁很簡單，很容易就能找到我們的應(yīng)用，但是如果有綁定的話，那就是各種廣告了。在下載軟件的時(shí)候，只要我們有一對(duì)敏銳的眼睛，認(rèn)真地看一看那些真正的流氓程序，就可以很容易的分辨出其中的幾種，防止我們被病毒軟件感染。6.3預(yù)防非法軟件PowerTool是一款自主研發(fā)的綠色軟件，無需進(jìn)行安裝，只需在目錄中選取相應(yīng)的系統(tǒng)運(yùn)行（32位選取PowerTool32位，64位系統(tǒng)選取64位系統(tǒng)）即可。當(dāng)你打開這個(gè)軟件之后，用戶能夠自行檢查系統(tǒng)有沒有安全性的危險(xiǎn)，或者有沒有惡意的安裝到你的第三方的軟件。有了PowerTool，Windows的系統(tǒng)基本呈現(xiàn)了給了每個(gè)用戶。通過該模型，系統(tǒng)進(jìn)行的每一步操作都會(huì)被該模型進(jìn)行觀察和了解，并對(duì)其進(jìn)行直接干涉。新版的PowerTool也加入了一個(gè)可以判斷硬盤容量和電量消耗速度的硬件探測功能。能判斷電腦的硬件是不是二手制造品。供電工具包括了CPU，硬盤以及其它部件的溫度監(jiān)測。如果您將其置于WinPE中，您同樣能夠清晰地找到啟動(dòng)區(qū)域中是否有病毒，并且對(duì)您的系統(tǒng)進(jìn)行了優(yōu)化與管理。如此多的功能和直觀的系統(tǒng)管理程序，是不是很便利？如果需要的話，在你的電腦上安裝一臺(tái)，這樣你的電腦就不會(huì)受到任何的威脅了。6.4利用數(shù)字簽名技術(shù)預(yù)防如今的許多“流氓軟件”都不會(huì)單獨(dú)出現(xiàn)，而是會(huì)采取綁定的方式，只要有一個(gè)“流氓軟件”成功對(duì)使用者電腦進(jìn)行感染，就會(huì)有更多的“流氓軟件”被強(qiáng)制安裝。采用數(shù)字簽名，可以完全阻斷以上“流氓軟件”的手段。針對(duì)某個(gè)惡意程序，您可以在該程序的右鍵選單中選擇“屬性”，然后選擇“數(shù)字簽名”界面上的“詳細(xì)信息”，再選擇“查看證書”，然后在“詳細(xì)信息”欄中選擇“拷貝至檔案”，通過該程序，即可將該程序的電子簽字資料輸出至所需的文檔。在“gpedit.msc”中，單擊“電腦配置”-“Windows設(shè)置”-“安全設(shè)置”-“軟件限制策略”，然后在右邊的“其他策略”項(xiàng)目中，單擊“Createauthentrule”，然后單擊“Createauthentrule”，然后在彈出框中單擊“查看”按鈕，選中上面提到的“憑證”。單擊“確認(rèn)”鍵，選中“安全級(jí)別”中的“不允許”，然后單擊“OK”鍵來保存該選項(xiàng)。然后，如果使用此認(rèn)證的程序（特別是由同一家公司制作的），則會(huì)被此政策所截獲，使其不能進(jìn)行安裝。在建立了許多這種約束機(jī)制之后，你可以使用這個(gè)插件，在它的主屏幕上單擊“輸出限制策略”，然后把它輸出到一個(gè)單獨(dú)的“date.Dat”的文件中。在另一臺(tái)電腦上執(zhí)行此功能，然后單擊“導(dǎo)出軟件限制策略”，即可完成操作。然而，這個(gè)綠色軟件的運(yùn)行路徑之下，一定要有一個(gè)“date.Dat”。通過這種方式，預(yù)先設(shè)定好的策略可以迅速地在其它筆記本上進(jìn)行部署，使“流氓軟件”不能再對(duì)其它計(jì)算機(jī)造成傷害。6.5利用安全工具的使用技術(shù)預(yù)防Win10上安裝了一個(gè)強(qiáng)大的防御軟件——WindowsDefender，可以抵御各種惡意程序。打開“運(yùn)行中心”的“操作中心”菜單，選擇“安全”欄目下的“檢視防間諜程序”選項(xiàng)，在“運(yùn)行中心”的視窗內(nèi)打開Windows定義。開啟“控制面板”，并在里面引導(dǎo)“WindowsDefender”。在“主頁”中，您可以看見當(dāng)前的安全防護(hù)系統(tǒng)已被打開，在“更新”面板中會(huì)出現(xiàn)病毒數(shù)據(jù)庫的相關(guān)資料，如最近更新的時(shí)間和病毒定義的版本等等。要獲取最新的病毒庫，請(qǐng)單擊“更新”鍵。在“主頁”中，有快速，完整，定制等功能，單擊“立刻搜索”鍵，即可根據(jù)所選方法對(duì)整個(gè)系統(tǒng)進(jìn)行搜索，找到并清理惡意程序。當(dāng)然，有了這個(gè)“病毒清除工具”，我們還可以與黑客們展開一場戰(zhàn)斗。在它的主接口中，單擊“計(jì)算機(jī)安全概述”，在“惡意程序清除”部分中選擇“立即掃描”，即可查找隱藏的各類惡意程序，單擊工具欄中的“體系修補(bǔ)工具”，即可看到已修補(bǔ)的內(nèi)容，再單擊“一次修補(bǔ)全部”的連接，即可消除該病毒的危害。6.6IE使用中的技術(shù)預(yù)防目前，網(wǎng)絡(luò)上出現(xiàn)了大量的“流氓軟件”，比如修改網(wǎng)頁頁面，安裝惡意插件等。在IE瀏覽器中點(diǎn)擊“工具”→“管理插件”，然后選擇左邊的“工具條與擴(kuò)充”選項(xiàng)，然后在右邊將其全部展示出來。選取一個(gè)插件，您可以在“發(fā)行者”欄中查看它的開發(fā)者名字，并且它的說明會(huì)出現(xiàn)在視窗的下方。單擊“詳細(xì)信息”可以看到一個(gè)彈出來的頁面，比如名字，發(fā)行者，文件和存儲(chǔ)的地址等等。在此基礎(chǔ)上，我們可以輕松地識(shí)別出身份不明的嫌疑人，并找到與此相關(guān)的文檔。然后，你可以通過登陸來瀏覽網(wǎng)站，然后把這些疑似的文檔進(jìn)行掃描，這樣就能很輕松地分辨出這款病毒是不是惡意的。如果發(fā)現(xiàn)它是一個(gè)非法的程序，你可以選擇它在擴(kuò)展程序的管理頁面，然后單擊“禁用”鍵使它不能正常工作。輸入相關(guān)資料夾，移除相關(guān)檔案。如果你不能用常規(guī)的方式清理它，它就會(huì)被插入到一個(gè)IE程序或一個(gè)合法的過程。為了達(dá)到這一目的，可以利用諸如PowerTool之類的軟件來查找相應(yīng)過程中的相關(guān)模塊的相關(guān)信息，從而發(fā)現(xiàn)惡意文檔的藏身之處；然后強(qiáng)行解除和移除它。同時(shí)，還可以通過IE瀏覽器對(duì)非法文檔進(jìn)行過濾，有效地阻斷了惡意程序進(jìn)入網(wǎng)絡(luò)的途徑。要在開啟的視窗中啟動(dòng)此特性，請(qǐng)單擊“SmartScreen刪選器”→“允許SmartScreen刪除”項(xiàng)目。在這個(gè)過程中，智能Screen刪除程序可以在當(dāng)前裝載的時(shí)候探測到它。就算它能被發(fā)現(xiàn)，智能Screen刪除程序也會(huì)在使用者執(zhí)行這個(gè)檔案的時(shí)候，把它的資料傳送給微軟的云計(jì)算服務(wù)器，然后再來測試它的安全性。如果它沒有遵守微軟制定的安全條例，那么這個(gè)檔案將會(huì)被阻止，并且會(huì)出現(xiàn)一個(gè)警告，說“您的計(jì)算機(jī)已經(jīng)受到了Windows的保護(hù)”。若使用者確認(rèn)檔案已被確認(rèn)，則可于系統(tǒng)視窗內(nèi)選取“更多信息”