清除病毒和清除流氓的不同

管了一段时间论坛，了解到网民对流氓软件有着切肤之痛，不少网友尝试用各种办法来尝试清除流氓软件。结果却发现流氓软件和病毒软件相比，流氓软件更难清除。

这其中有一个深刻的原因，病毒通常是个人或小工作室制作，而流氓软件是公司制作，研发实力和反病毒公司相比并不逊色，而流氓可以完全不顾忌产品的稳定性，只追求点击量，安装量。用户系统的死活流氓软件是根本不考虑的。相反，杀毒公司的反流氓软件产品，必须考虑到兼容性，清除效率，修复能力，BUG解决等问题，受制因素更多。杀毒公司还有个很重要的顾虑来自法律纠纷，360不是前几天输了么，毒霸接到的律师函也有一打了吧。比较可笑的是，有的流氓软件公司可以给杀毒公司递律师函，却胆小到自己主页上从不敢提自己是干嘛的，流氓软件公司开发的流氓程序，甚至在他的主页上没有提供下载，只是通过网盟发布共享软件捆绑。

技术上来讲，杀病毒的流程基本是这样，杀毒软件调用反病毒引擎和特征库，扫描内存、文件是否有和病毒特征库匹配，发现一个就清除一个，是顺序执行的。比较难杀的病毒、木马有守护进程A、B，甚至有的还有，A、B、C相互守护，你杀掉A时，引擎还没有检测到B是病毒，B会尝试重启A，这时A就重启了，当杀毒软件杀掉B时，A又回头重新启动B，如此循环，你就发现总也杀不掉。

相当一部分流氓软件采用守护进程，甚至rootkit，rootkit可以完全隐藏自身，当杀毒软件检测病毒时，rootkit可以返回虚假值。当你尝试手工清除时，你会发现根本找不到相关文件，进程中隐藏了，文件夹也隐藏了。

那技术上清除流氓软件该怎么办呢？可以采用的作法有多种，比如限制进程创建，冰刃就有这个配置，缺点是使用这个配置后，在恢复正常进程创建前，任何其它程序都不能运行。

还可以分析流氓软件的安装行为，比如生成了某文件，修改了某键值，把这些修改记录为流氓软件特征库，清除流氓时，采用某种技术，一次性恢复到流氓软件安装前的状态，通常这样清除流氓软件需要重启计算机。

毒霸还有另一个绝招，就是使用文件粉碎，根据对该流氓软件的分析，明确知道系统中哪些文件是流氓程序，一次性使用文件粉碎功能把相关文件全部删除。但这样还没有结束，单纯删除文件的方法可不适用于清除流氓软件，流氓软件修改的系统配置如果不修复，就会带来更多问题，比如，不能上网，正常程序不能运行等。反流氓软件还需要在删除流氓文件后完成注册表还原等善后工作，这个操作有时也需要重启后生效。

流氓软件是不会自动退出用户的系统的，因为耍流氓的低成本和耍流氓的高收益比起来，实在微不足道。反流氓软件的战役注定打的会比反病毒更艰难，因为到目前，还没有看到任何流氓软件遭到司法制裁。