近几年杀毒软件泛滥,很多人不知道该如何选择合适的杀毒软件,也许杀毒软件并非是必需的,真心觉得杀毒软件没啥用,而且运行起来还严重影响系统性能,但是很多小白电脑都会用杀毒软件,他们怕,因为不了解所以怕。但这不是今天要谈论的话题,今天要谈的是杀毒软件究竟是个什么东西,它到底是如何杀死病毒的,也许当你了解了它的工作原理和运行模式,你也许对病毒也会有所认识,然后不装杀毒软件也就不再感到畏惧。
杀毒软件(Anti Virus),也称反病毒软件,以下可简称AV软件,是一种保护用户的数据和信息的一套安全系统。从类别上划分,它可以分为几种类型,如扫描型,防御型,主动控制型等。
扫描型(Scan),这是一种最原始的方式,由于病毒出现得比较早,从DOS和win3.x时代就开始流行,那时候的病毒可能只是几行简单的代码,不过破坏力却是不可小视的。说到病毒,其实它和其它普通的程序没什么不同,所不同的只是它们的立场,一个是保护,一个是破坏,只此而已。所谓扫描病毒,就是扫描病毒程序本身的特征,然后与杀软病毒库中的特征码作对比,找到了说明它是个病毒,否则就是无危险的程序,随着病毒种类的增多,病毒库的体积也会越来越大。直到后来进入Windows时代,就出现了一种防御型的杀毒软件。
主动防御控制型,也叫HIPS(主机入侵防御系统),它可以是单独的一种软件,如E盾(EQSecure)、360的Malware Defender、Comodo(科摩多),也可以是附加的功能,如卡巴斯基,360等,现在它是大部分杀软都具有的功能,有些以扫描为主,有些则以主防为主,扫描型病毒比较经典的我只记得有一个macfee(麦咖啡)的软件,主防型的有东方微点主动防御软件。
除此之外,还有几种形式,其实可以把它们看作是主防的变形,这种程序叫做沙盘(SandBox)、沙盒或沙箱,这是一种主动控制型的,沙盒程序控制了系统比较重要的API,所以目标程序的行为基本都会在沙盒的监控之中。但是注意,会有漏沙的可能,而且前面说了它只是控制了关键API,而不是所有,所以沙盒并不是绝对的安全,只能说它在一定程度上是安全的。"在沙盒中运行程序既能保证安全又不影响程序原本的功能"这种说法严格讲是不对的,因为这两者是矛盾的,沙盒既不能保证绝对的安全,又不能做到完全不影响程序自身的功能,事实上,市面上普通的安全工具在沙盒中运行就无法发挥它的原有功能,例如一个进程管理器要结束系统进程,不用说,沙盒肯定会阻止。那有没有绝对安全的呢?有,那就是另一种更强大的沙盒,也就是虚拟机。虚拟机程序是利用驱动控制计算机的硬件,达到从逻辑上创建若干虚拟主机的目的,在虚拟机里,所有的程序都无法与真实操作系统中的程序直接传递信息,所以虚拟机可以说是绝对的安全,除非你能找到它的漏洞,但是这种概率非常低,虚拟机里的病毒想穿透机器到原始系统中搞破坏几乎是不可能的。其它这些形式并没有严格的区分,反病毒软件可包含以上所有功能,它可能有自己的虚拟运行环境,可能有病毒数据库,也可以有主防系统。
再看杀毒软件的杀毒机制。一般来说,杀软都有自己的数据库,里面存放病毒程序的特征,理论上只有一个文件存在这个特征,就会被认定是有危险的,无论它的格式是什么,哪怕是一个TXT,也会被当作病毒被隔离,甚至这个文件是它自己的东西。当然杀毒软件一般不会自己杀自己,那是因为它自己的文件都会有一个签名,倘若签名丢失,那它就瓦解了,换句话说,连自己都不认识了。前不久有个叫熊猫卫士的产品,据说是因为数字签名损坏,所以把自己的一个核心程序当作病毒杀掉了,结果也就无法再启动。这还不算讽刺,前几天发现了个可疑驱动DMProtectEx.sys,删掉后会再生,以为是病毒,没想到最后经诊断居然是ADSafe的广告拦截驱动。所以有了签名就不会被杀,那么如果我购买一个签名,就相当于向杀软公司交了保护费,这样以后凡是我写的程序,该杀软都会认为是正常的程序。这么看,就算杀毒软件不理,也并不意味着它是安全的,其实事实远不止于此,据说有些杀毒软件厂商甚至还自己制造病毒,然后再拿来杀掉,以提高自己产品的知名度,以上这些不知道是否是杀毒界的潜规则。
主动防御的任务,就是在目标程序对系统进行破坏之前拦下它。那怎么看目标是否是一个有害的程序呢?判断标准是通过行为特征分析,观察和监控它的动作,看它是否做出一些出格的举动。例如,一个程序运行后先是创建自己的副本,之后立即将该副本注册为开机启动对象,这样的行为是病毒或木马的典型特征,再者将自己注入系统进程、安装系统消息钩子、安装和加载驱动等等,这些全都属于危险行为。那么,问题是杀毒软件怎么知道这些的?它怎么知道目标程序具体都做了些什么?下面不得不简要说一下Windows的原理。
在Windows上运行的程序,能够执行的有EXE、DLL、SYS、OCX等,这些都叫做可执行文件(Executable File),也就是包含CPU指令、可以控制电脑硬件和指挥电脑的一类程序。这些可执行文件属于PE(Protable Executable)文件,是一种可移植的执行格式,这是一种具有特殊结构的程序,程序中包含数据、资源和指令。而文档(Document)又称数据文件,里面不含任何指令,但是能被可执行文件读取。病毒可以是EXE,也可以是DLL、SYS等,但是不可能是BMP、TXT之类的程序,因为这些程序都不能执行命令,当然不排除病毒伪装成普通档案的情况。有些病毒将自己命名为test.txt.exe,如果系统扩展名没有显示,表面上并不能看出它的文件类型。照这么说,如果一个文件名字的结尾确实是.txt,那就代表它一定没有危险吗?当然不是,因为文件名其实并不能说明什么,重要的是文件内容和格式,因为但凡稍微改动一下注册表,就会让一个扩展名为txt的应用程序能够双击触发,这个牵涉到系统的文件关联(Association)机制,后面会讲到。用记事本(notepad)打开一个txt,如果开头是MZ,说明它极可能是一个可执行程序(EXE或DLL等),紧接着后面还会有这样一句话:This program cannot be run in DOS mode. 意思是:这个程序不能运行在DOS模式,说明它是Win32位应用程序,而DOS系统下只能运行16位的程序,而且后面会看到PE两个字符,这些是EXE的通用格式,所有EXE都是如此,否则就无法执行。DLL(Dynamic Link Libraries)是动态链接库文件,也属于可执行文件的一种,能够被其它EXE间接调用并执行,从某个角度而言,DLL比EXE更加危险,EXE运行后至少有一个进程(Process),而DLL则没有进程,它的代码位于进程内部,要查看进程的DLL模块,就要用到第三方软件。进程(Process)是指程序活动的地方,内存中的一片区域,一个空间,一个场地。一个程序,比如Windows记事本,文件名叫notepad.exe,运行后会创建一个进程,进程名也叫notepad.exe,路径是C:\Windows\System32\notepad.exe,其实这个路径是模块路径,进程本身是没有路径的,它就是一个空间,里面存放着各种不同的资源,其中包括一个exe和多个dll,这些exe和dll到了内存中,叫做模块(Module),模块路径就是文件路径,进程路径是指EXE模块的文件路径。进程只是一个区域,执行任务的则是线程(Thread)。一个进程可以有多个线程,没有线程,它就成了僵尸进程,什么也做不了。如果我要同时做一些不同的任务,只需多创建一些线程即可。
杀毒软件要控制另一个程序,就必须控制系统的API调用。API(Application Programming Interface,应用程序编程接口)函数是软件完成相应功能必须要调用的东西,一个API对应一个功能,参数决定功能的细节。API的本质就是一段代码,这些代码位于系统的DLL中,一个DLL文件含有若干API。举例说明,例如"结束进程",就要调用一个TerminateProcess的API,任务管理器(Taskmgr.exe)里面终止一个进程,就是调用了它。当然,其它进程管理软件大多也是调用它。这个函数位于kernel32.dll中,而这个函数的代码里,会继续调用另一个更底层的API:ZwTerminateProcess(NtTerminateProcess),Zw/Nt系列函数位于文件ntdll.dll中,也就是说ntdll.dll比kernel32.dll里的代码更接近系统底层,所以,你也可以直接调用ZwTerminateProcess去终止一个进程。然而,单独靠这个函数是无法结束其它进程的,还要有其它函数配合使用才行,要结束一个进程,首先要"打开"(Open)这个进程,OpenProcess(打开进程)函数正是负责干这个的。Windows下的每一个进程都有一个进程ID(ProcessId),它是进程唯一的标识符,要打开进程,就要指定进程ID,标明你究竟要打开哪个进程,例如记事本notepad.exe的进程Id是1234,你就要OpenProcess这个1234,获取目标进程的句柄。句柄(Handle)你可以理解为一把钥匙,一种权限,有了对象的句柄,你才可以访问这个对象,就像有了钥匙才能开门一样。比如刚才我们打开了记事本的句柄,得到句柄值0x100,然后再TerminateProcess这个0x100,意思是终止句柄值为0x100这个进程,这样就把记事本给杀掉了。那么,如果我打开了记事本的进程得到0x100后,然后用另一个程序调用TerminateProcess去结束这个0x100,能把记事本给结束掉吗?答案是不能,因为首先句柄值是会变的,你这次打开得到0x100,下次再打开就可能会变成0x200,每次打开的值都是不同的,而且这个0x100是私有对象,只对打开它的程序有用,也就是说,0x100这个值属于你自己内部的东西,只对你有意义,对其它程序来说,0x100不代表任何进程。进程句柄属于内核对象句柄,除此之外,还有一种叫做GDI的句柄,这种句柄是不变的,例如窗口句柄(HWND),窗口在创建后其句柄就保持不变,直到窗口销毁(Destroy),也就是我们平时所说的关闭窗口。窗口句柄是公开的,完全暴露给用户,通常情况下任何进程都能访问。
现在,当你在任务管理器里去结束一个进程,结果却提示拒绝访问,这是怎么回事呢?这是因为,你没有权限访问目标进程。一种可能是,你不是管理员(Administrator),另一种可能是,这个进程被Hook(钩住、控制、拦截)了。为什么会被Hook呢?因为有进程采用了Hook API技术修改了这个函数地址,它钩住了OpenProcess这个API函数,当发现你要结束的进程是它时,它就跳过这个API,什么也不执行,直接返回。所以你收到的就不是进程句柄,而是0,既然打开失败,下一步结束进程就别谈了,只有当你有了句柄,有了所有权,你才能结束它,读写它,或者做其它什么都行,没有句柄,就什么也做不了。杀毒软件Hook了NtOpenProcess、NtTerminateProcess这些API,所以你想用普通的方法结束杀毒软件的进程,是没有用的,但是不代表不能用其它方法结束它的进程,如通过结束GUI界面来结束它。同样的,杀毒软件能够监控你的行为,得到你的一举一动,并随时准备kill掉你,也全是因为hook了和系统安全相关的API,所以才如鱼得水。
杀软要监控系统,是从创建进程(CreateProcess)开始的,每一个进程都是由其它进程创建,记事本所以能运行,是因为你双击了一个TXT文件,而TXT又和Notepad.exe关联,所以系统就调用了Notepad,顺便传给它一个命令行参数(Command Line),参数就是TXT文件的路径,Notepad运行后会检查自己后面是否带有参数,有的话就把它当成一个文件路径并打开它,如何处理参数则是程序员的事情。双击notepad.exe,或者从开始程序中选择记事本,或从开始->运行中输入notepad并打开,notepad都是由Explorer.exe这个进程来创建的,notepad的父进程就是Explorer.exe(Windows Shell进程),就是我们通常所说的桌面进程。如果在cmd中输入命令并启动,这时启动后的程序的父进程就是cmd.exe。而Explorer.exe的父进程是userinit.exe,创建完Explorer后它就退出了,userinit的父进程是winlogon.exe(登录进程),winlogon.exe的父进程是smss.exe(会话管理器,第一个进程,由内核创建)。杀软hook了NtCreateProcessEx、NtCreateSection等API,这样,任何进程启动都在它的监控之中,如果有可疑动作就弹窗提示或直接隔离。那么,hook究竟做了什么呢?其实hookAPI就是改掉目标进程API入口地址,跳转到它自己的地址,如果是这样的话,病毒运行后难道不会检查自己进程内存是否被修改过,从而再改回来吗?其实hook也分很多种,杀毒软件hook的不是目标进程的数据,而是系统内核数据,这就要谈到进程内存管理。
Windows系统每个进程的内存都各自独立,一个进程的崩溃不会影响到另一进程,更不会影响到操作系统进程,这是因为为了避免用户的代码波及系统内核代码,系统把内存划分开来,一个是用户内存,一个是内核内存,应用程序代码工作在用户模式(user mode),操作系统的代码运行在内核模式(kernel mode),这样用户进程发生的错误由自己承担,而不会引起系统崩溃。当程序需要到内核请求服务时,它会通过指令从用户模式切换到内核模式,完成服务后控制权会切换回来。Win32下每个进程都有一个虚拟的4GB内存空间,用户代码只能访问2GB以下空间,驱动程序代码可以访问全部空间,不过有一个64KB的区域,地址从0x7FFF0000-0x7FFFFFFF,这个地方它们都不能访问。EXE、DLL都在用户内存活动,而不会跑到内核内存,操作系统则在内核内存中运行,要访问内核内存的数据,就要写成驱动程序(Drivers)Sys格式,只有sys格式的可执行文件才有权限进入系统内核,从而获取系统的完全控制权。所以,杀毒软件都会有自己的驱动,也就是至少有一个sys文件,运行后加载到内存,便可充分进入Windows系统。如果驱动的代码存在漏洞,则可能会导致系统内核崩溃,从而引起蓝屏(BSOD)。蓝屏是驱动程序代码发生异常的结果,而EXE的代码是不会造成系统崩溃的,因为它没有访问系统内存的权限。从用户空间(ring3)进入内核空间(ring0),需要经过一道门----SSDT(System Services Descriptor Table),称"系统服务描述符表",这是一张系统服务表,ntdll.dll中的NT系列函数最终要访问的就是SSDT,所以要最终结束一个进程,必然要经过SSDT中的NtTerminateProcess函数,杀软在驱动中拦截了NtTerminateProcess、NtTerminateThread、NtOpenProcess等系统服务,从而保证自己不被ring3下的EXE程序干掉。SSDT最终要通往系统内核,去执行真正的代码,所以,要挂得彻底,就要挂钩内核,也就是inline Hook。不过,相对而言,SSDT更稳定,所以有些程序还是挂的SSDT,当然也有挂内核的,例如360。那如果病毒也进入内核怎么办?病毒一旦进入内核,杀毒软件就无法再对其进行安全控制,系统就被完全劫持,杀软的主防也就彻底失去了作用。所以,驱动病毒(Rootkit)是最危险的,如果一个程序要安装驱动,一定要确定它是安全的才能放行。
可是,有些杀毒软件已经过滤了终止进程的服务,可为什么还是会被其它进程Kill掉呢?这是因为杀进程不一定要用标准的终止进程函数,还可以从它的GUI(图形用户界面)下手。早期的安全软件自我保护不够彻底,只单单保护了进程和线程,而没有保护窗口界面。Windows有一个消息通信机制,依靠消息传递来和窗口进行通信,窗口创建后会收到许多系统消息,如果病毒进程向杀毒软件发送了这些消息,杀软进程将会出现问题,甚至挂掉。比如要杀掉一个窗口,就向目标窗口发送WM_CLOSE、WM_QUIT、WM_DESTROY等消息,窗口就会被销毁,进程也随之退出。不过现在的杀软保护机制比以前要完善,这些消息如今已经过时了。但没有绝对的安全,任何程序都有漏洞(bug),要干掉AV软件,就要寻找它的漏洞,然后给它致命一击。除此之外,Windows的消息还有好多,如WM_MOVE(移动窗口),WM_SIZE(改变窗口大小)等等。那我有没有办法控制其它进程的窗口呢?办法是有的,还是调用系统API,例如我要移动记事本notepad的窗口,就必须先得到它的句柄(hWnd),然后MoveWindow它或SetWindowPos它到任意位置。句柄怎么获取呢?可以通过EnumWindows、GetWindow、FindWindow等函数遍历系统所有窗口,然后再得到其标题和类名,就能大致找到它。
但是,有些窗口却无法关掉,即使向它发送了WM_CLOSE,这是怎么回事?因为目标窗口Hook了WM_CLOSE消息,将它拦了下来。不急,我们还有其它方法,就是隐藏(Hide)它。系统有许多窗口,大部分都处于隐藏状态,只有少数能看见,"隐藏"属于窗口样式(Window Style)的一种,窗口样式也叫窗口风格,是指一个窗口的外观,就像人的相貌一样,不同的人长相不同,窗口也是如此。有些窗口能改变大小,有些不能,有些有最小化最大化按钮,有些一直位于顶层,还有些没有标题栏,甚至有些窗口是透明的,鼠标点击不到等等,这些都属于窗口的样式,要获取窗口的样式,就要GetWindowLong,改变一个窗口的样式要SetWindowLong,比如要隐藏一个窗口就要把它的WS_VISIBLE样式去掉,当然通常的做法是ShowWindow(显示窗口),ShowWindow可以将目标窗口隐藏或显示、最小化及最大化,实际上依然是改变了窗口的样式。同样的,要让一个窗口永远处于最前面,就要用SetWindowPos,给它添加一个WS_EX_TOPMOST样式。有些窗口比较特别,它们是编程中的控件(Control),比如TextBox、ListBox,Button等,控件本质也是窗口,只不过是子窗口,是属于某个窗口内部的窗口,这样的窗口不能移出它的父窗口,子窗口除了具有标准窗口的样式之外,还有它自己独特的Style,子窗口可以再有子窗口,如此形成窗口树,这一点和进程差不多。获取子窗口用GetWindow,获取父窗口可以用GetParent,不过不建议使用,因为GetParent这个API有问题,它有时会取到"所有者"(Owner)窗口,获取父窗最好用GetAncestor。每个窗口都有一个顶级父窗,叫做"桌面"(Desktop),这个桌面不是Explorer的桌面,而是系统内核win32k.sys创建的窗口,属于win32子系统进程csrss.exe的窗口,但是有些可能不属于Desktop,例如消息(Message)窗口。另外,窗口还有其它属性,比如窗口大小,获取窗口尺寸用GetWindowRect,这个API会取到一个矩形(Rect),Rect由两个点(Point)组成,一个是窗口左上角坐标,一个是窗口右下角坐标,当窗口最小化时是取不到的,只能用GetWindowPlacement得到它的还原矩形。窗口是由进程创建的,确切地说是由线程创建的,所以每个窗口一定都有一个对应的进程和线程,比如桌面图标窗口(Progman)、任务栏窗口(Shell_TrayWnd)以及文件管理器窗口(ExploreWClass),都属于Explorer.EXE进程。当我们双击一个txt或jpg也会产生一个窗口,这个窗口是个exe程序,或者说是一个软件,软件和相关文件类型存在关联所以才能自动调用EXE,而txt和jpg是不会有窗口的。窗口除了窗口矩形,还有客户矩形(Client Rect),客户矩形是一个窗口的工作区,是可以通过代码控制的部分,是程序员可以直接访问的那片区域,而非客户区(Not Client)则由Windows系统控制,标题栏(CaptionBar)、菜单栏(MenuBar)、窗口边框(Border)都属于非客户区。注意,菜单栏不一定是含有菜单的栏目,它也可能是伪菜单栏,比如工具栏(ToolBar)或自绘控件。工具栏是一个窗口,属于窗口类,而菜单栏不是窗口,没有句柄,它只是窗口非客户区的一个区域罢了,如资源管理器中的菜单栏,实际上是一个ToolBar窗口,仍然属于客户区部分。获取窗口属性的常用工具有Spy++、ViewWizard等。
所谓知己知彼,百战百胜,杀软要对付病毒,就要知道它的原理,知道它一般要干些什么事。早期的病毒一般是感染,感染可执行文件,病毒遍历所有EXE文件并将它自己的文件Bytes写入EXE之前,这样双击一个EXE,首先启动的就是病毒程序,病毒程序获取控制权后,再回到原始文件的代码入口执行原来的程序代码,这样用户便发现不了它的踪迹,还有些则是纯属玩笑程序(Joke)。而如今的病毒程序一般以木马为主,他们利用木马入侵用户的计算机并从中获取利益。典型的木马程序有键盘记录(Keyboard Logger)、勒索程序等。
键盘记录的方式有很多,比如消息钩子、定时截取按键、过滤驱动等。消息钩子最为常见,病毒启动后通过SetWindowsHookEx注册一个系统钩子,然后就能监控到系统全局的按键。一种方式是通过DLL注入系统所有GUI进程获取记录,另一种是通过低级钩子(WH_KEYBOARD_LL)捕获记录,定时截获一般是通过GetKeyState、GetAsyncKeyState等函数截取记录,DirectX游戏按键记录等,更底层的则是直接释放一个键盘过滤驱动(Filter Driver)到用户电脑。另一种形式是通过发送WM_GETTEXT、EM_GETPASSWORDCHAR获取编辑框和密码框的内容,来达到记录用户输入信息的目的。钩子的作用不仅限于键盘记录,它还有其它许多作用,相比之下,另一种技术则显得有些过时,它是远线程注入(Insert Thread),一般的程序不需要什么注入其它进程,所以但凡调用CreateRemoteThread则基本会被认定是木马。还有种病毒属于恶意程序,专门搞破坏,比如删除文件,格式化磁盘,改文件夹图标,伪装成文件夹等,这种病毒行为虽然简单,但破坏性却很为严重,看似简单的东西反而是最危险的。与EXE病毒相比,DLL病毒则更加可怕,如LPK.dll病毒,它和系统文件lpk.dll同名,运行后在本机搜索WinRAR等压缩器程序,然后将自己写入到压缩包中去,属性设为隐藏。当用户双击EXE后,EXE会在当前目录下寻找lpk.dll,找到的话就加载,随之病毒就从Dll入口处执行目标代码。对付它的办法是在注册表中声明该DLL库,使程序在运行后先到系统目录(system32)中寻找该DLL,而不是先到应用程序目录下寻找该库文件。所以说设置成"显示所有文件"是有必要的,真正重要的东西不必隐藏,而应该加密。中了病毒重装系统就没事了吗?并不是的,有时病毒会将自己复制到所有分区下,恢复系统只是恢复了系统盘(C盘),而其它盘并没有发生改变(D盘可能会被安装些程序),所以如果你不小心又运行了其它盘的病毒,那就悲剧了。病毒的启发方式也有很多,如改变注册表关联,改IFEO(映像劫持),写Autorun.inf等。在资源管理器中双击一个程序,并没有立即为它创建进程,而要到注册表寻找其对应的另一个程序,病毒将目标程序篡改,从而达到偷粱换柱的目的。一个进程运行的步骤是:shell32.ShellExecute->kernel32.CreateProcess->ntdll.ZwCreateProcessEx,最后是SSDT的NtCreateProcessEx。双击是从ShellExecute开始执行的,到了ntdll时,进程目标才得以确定,中途可以在注册表中改掉目标。
仅运行了起来是远远不够的,病毒还要将自己写入自启动列表,以便长久落脚。自启动是一项很复杂的机制,有开始菜单启动、注册表开机启动,还有服务启动、驱动启动、DLL启动等。自启目标未必是EXE,只要代码到了内存就会执行,有时一个程序后台启动了,但却无论如何找不到它的启动项,这是因为它采用了DLL的方式启动。工欲善其事,必先利其器,要查看这些启动项就要用到利器,Autoruns就是专门干这个的。要阻止病毒,就要充分了解启动项,从一定上意义讲,阻止了自启,就等于阻止了病毒。只要它不自启,重启电脑后它也就不会再运行,不运行就没有控制权,那么我们就有时间揪出潜藏在深处的恶意程序。
病毒要生存就要首先保护自己。隐藏(Hide)和伪装是一个有效的方法,首先要隐藏进程,那要就hook掉获取进程的API,最基本的是在系统的任务管理器(Taskmgr)中隐藏自己,Taskmgr获取进程用的是NtQuerySystemInformation,那病毒就要hook掉该API,抹去自己。然后是伪装,比如伪装成系统进程的名字,如svchost.exe,或者修改模块PEB伪装自己的路径。接下来是隐藏文件,hook掉NtQueryDirectoryFile(查询目录文件),在资源管理器就看不到它了。除了隐藏和伪装,还可以保护,比如像杀软一样过滤掉NtOpenProcess等API,就能防止Taskmgr结束自己,但如果碰到驱动级管理器就无效了,带驱动的辅助工具称为ARK,也就是反内核工具,它工作在ring0层,属于手杀工具的一种,它不但能够保护自己,还能检查系统内核的状态,判断内核代码是否异常,当然还具有强杀功能,比较有知名度的软件代表是IceSword(冰刃)、PCHunter(原XueTr)、PowerTool等,ring3下的工具比较少,比如我编写的FxIce(XP下可用,现已开源)。进程要删除一个文件,必须用到DeleteFile,包括Explorer在内,DeleteFile前要先SetFileAttributes,以便移除文件的只读(ReadOnly)属性,因为"只读"文件是无法删除的。病毒要防止自己被删除,就要在内核中的Hook NtDeleteFile和NtSetInformationFile,防止自己被访问就要Hook NtCreateFile、NtOpenFile。和进程一样,文件也有文件句柄hFile,要读写一个文件,首先要OpenFile或CreateFile这个文件,得到一个句柄(Handle),然后才能对其WrieFile或ReadFile,句柄用完要关闭(CloseHandle)它,以便释放资源。最后是保护窗口,首先是隐藏,这里是指改变它的Style,让自己不再拥有Visible(显示)属性,其次是在内核中隐藏自己的信息或者挂上内核钩子,让ring3(用户模式)下的进程无法获取到自己的信息,比如在ShadowSSDT中Hook NtUserQueryWindow、NtUserFindWindowEx等。
测试一个程序是否是病毒,最安全的环境是虚拟机,把可疑程序扔到虚拟系统中就可以放心大胆地运行它了。隐藏是相对的,存在是绝对的,完全隐藏对象是不可能的,因为至少操作系统能够检测到它的存在,那么其它程序就也能。所以没有不透风的墙,病毒的隐藏是暂时的。病毒一般是网上下载的程序,或者来自可移动盘里的程序,而且都是因为你无意的点击或者一时疏忽,才让病毒有了可乘之机,侵入了系统。少数病毒可能会自动运行,比如移动盘自动播放触发了病毒,或者某些程序设置了自动运行功能等,比如自解压+自运行,对于这种情况,可以选择使用HIPS软件,不必驻留内存,测试完了退出即可,程序运行过程发现存在异常行为直接中止,另外还要不定期查看系统启动项的状态及驱动状态,避免自动程序过多以及病毒落脚。那病毒或木马会不会远程侵入电脑?这个是不会的,远程控制实际上仍然是本机控制,木马能够控制你的电脑,说明它已经进入了你的系统,而且已经成功地进入内存。不过,如果没有把握对抗病毒,还是装个防护软件比较好。