電腦安全手動保護.doc

做自己的救世主：系統(tǒng)安全保衛(wèi)戰(zhàn) Jarric Feng 摘錄一. 誰是救世主 相信看過黑客帝國系列的朋友都不會對主人公尼奧感到陌生，這位闖入虛擬世界的程序員一次又一次演繹了“救世主”的角色，保護了城市居民，其形象早已深入人心。而離開電影后，我們廣大的計算機用戶要面對的又是另一種亦真亦假的數(shù)字虛擬世界網(wǎng)絡(luò)，這里同樣潛伏著許多危險，同樣存在“黑客帝國”，但這里卻沒有尼奧這個人的存在，我們能看到的，只有形形色色的安全廠商和他們所提供的安全工具，除此之外，似乎已經(jīng)沒有別的選擇。 于是乎，許多用戶把各種安全工具看成了這個世界中的“救世主”，我們看到許多關(guān)于安全工具的廣告，我們購買市面上流行的防病毒軟件，我們在聽聞每周一次的“新病毒預警”時趕緊升級病毒特征庫，我們每周都對電腦進行一次漫長的病毒掃描許多人都這樣做，許多人不得不這樣做，因為我們把一切都交給殺毒工具了，我們什么都不需要做了，我們只管肆無忌彈的上網(wǎng)聊天看電影下軟件，因為我們有殺毒工具，這些工具都具備一個“實時監(jiān)測”的功能，它每時每刻都會檢查我們剛下載的文件，我們感到自己很安全，我們以為這就是網(wǎng)絡(luò)中的防御。 然而，事實真的如此美好嗎？依稀記得有一句話好像是這么說的，“無論你做什么事情，你都不可避免要付出一定的代價”，在我們安然自得的享受由殺毒工具帶來的安全防御的同時，我們也在付出相應(yīng)的代價。為什么呢？因為殺毒工具是一套在系統(tǒng)啟動的時候就開始運行直到關(guān)機或者用戶退出它的時候才會停止運行的程序，它們的檢測和防御機制的效率是不能和尼奧相比的。舉個簡單例子，學過編程的人大概都知道，象棋程序是最難寫得完美的，因為象棋的走法從來都沒有一個固定的模式，我們能創(chuàng)造出許多花樣，但是程序不能，它只能按照有限的判斷機制去決定每一步棋怎么走，這就是為什么如今的許多象棋程序看起來像個傻瓜的原因。有人也許會說，做一個強大的象棋程序把盡可能遇到的走法都寫進去就可以了，這個象棋程序必然無敵。這樣是可行的，但是由此帶來的代價就是每個和它下棋的人可能都要花一輩子的時間了，因為程序在每走一步棋之前都要把所有盡可能遇到的情況都“思考”一遍，這樣是要付出時間作為代價的，如果要縮短時間，就要讓程序在同一時刻思考多種走法，但著時候，代價就變成龐大的系統(tǒng)資源消耗了你能忍受么？ 同樣的缺陷正在殺毒軟件身上發(fā)生，我們知道，大部分殺毒軟件是采用“特征碼”技術(shù)去搜索病毒的，就是說，殺毒軟件引擎讀取一個程序或文件內(nèi)容，并與自身數(shù)據(jù)庫里儲存的已被確認為病毒程序體內(nèi)某段特定代碼進行匹配，一旦兩者相同，殺毒軟件就“確認”此文件為病毒。隨著病毒家族的龐大，這個數(shù)據(jù)庫體積的增長也到了不可忽視的地步，加載的速度也就慢了。而且數(shù)據(jù)庫每增加一個病毒特征碼，殺毒引擎的判斷分支就要增多一條，相應(yīng)的時間也會延長，為了避免出現(xiàn)掃描一個文件需要半小時的尷尬情況，殺毒軟件會采用各種提高匹配速度的方案，但這些方案無一例外都要瘋狂剝削用戶的系統(tǒng)資源，如果一臺電腦的配置并不是很高，那么在用戶查毒的時候，他基本上已經(jīng)不能正常做其他工作了，找個電視臺慢慢看連續(xù)劇吧，這就是尼奧的代價。 那么，誰才是我們的救世主？答案就是你自己。能信任的人永遠只有自己，只要肯努力，每個人都可以做尼奧，不過這也是有代價的，因為它把系統(tǒng)資源的消耗轉(zhuǎn)變?yōu)槟X子的消耗，把判斷分支和經(jīng)驗寫入腦子里，在處理分支的效率上，人永遠比程序要靈活，而且這樣一來就不會出現(xiàn)依賴的惡性循環(huán)了，離開了殺毒軟件，我們要學會靠自己來保護自己不被這個虛擬世界傷害到?，F(xiàn)在，就讓我們來做自己的救世主吧。 二. 做自己的救世主 小時候曾經(jīng)看過一個故事另一種侵略，被人類打敗的宇宙侵略者送給人類一種水晶，只要人類拿起它想一種物品，這個物品就會出現(xiàn)在自己面前，于是每個人都開始沉浸于無盡的享受中，再也沒人去鉆研科技國防了，幾十年后，人類開始出現(xiàn)退化現(xiàn)象。這時候，宇宙侵略者又來訪問地球了，這次它們只用了一條條鞭子就征服了地球，在最后一個人類被驅(qū)逐進囚籠之前，他回頭含糊不清的說了句什么話連他的舌頭都退化得差不多了，也許他是說：“地球完了?！?以上的故事或許只是虛無的幻想，但類似的行為卻正在當代發(fā)生，如果一個用戶懷疑自己的電腦感染了后門，他的第一個反應(yīng)大概會是打開殺毒工具。故事里的人類太依賴水晶的魔力，現(xiàn)實中的我們太依賴殺毒軟件的方便快捷！也許有人會反對，既然能使用工具方便快捷的保護計算機安全，我又何必自尋煩惱學習安全防御？會這樣想的用戶沒有想到網(wǎng)絡(luò)的復雜，能闖進計算機的“客人”并非就是在各大安全工具廠商通緝名單上的成員，因為網(wǎng)絡(luò)中還流傳著一部分小規(guī)模使用而且沒有被公開的“私人后門”（例如大部分DDoS后門工具其實都是自己寫自己用的），有能力的人都可以自己寫“私人后門”，然后通過多種途徑放到別人的計算機上執(zhí)行。這時候，“病毒庫特征碼”技術(shù)的局限性就開始顯露了，被感染了“私人后門”的用戶偶爾會察覺到計算機異常，然后他會開始查毒，結(jié)果因為滲透進系統(tǒng)的后門程序并沒有在病毒特征庫里“登記”過，殺毒軟件就認不出它了，用戶只能在浪費大量時間后看著殺毒軟件報告的“沒有發(fā)現(xiàn)病毒”消息繼續(xù)“享受”被入侵的感覺。這個事實可笑嗎？我們只能在自己信賴的尼奧面前被敵人殺死甚至這個尼奧也不復存在了，如果后門能把它踢出內(nèi)存并刪除掉的話。 還是那句話，能信任的人只有自己，更何況這是網(wǎng)絡(luò)。所以，我們不能再戰(zhàn)戰(zhàn)兢兢的躲在掩體里等待救世主消滅所有敵人了，我們要做自己的救世主！ 三. 捕獲不請自來的“客人” “600型機器人包裹的是橡膠外皮，很容易被認出來，但現(xiàn)在的101型機器人是生化技術(shù)制造的，有真實皮膚，會呼吸、流血、甚至口臭，一切都和人類一樣，直到它開始攻擊，你才能知道它不是人類。” “那你們怎么辦？” “我們用狗識別終結(jié)者?！?終結(jié)者 在終結(jié)者里，狗是唯一可以區(qū)分敵我的工具，因為它判斷對方的方式并不僅僅靠眼睛眼睛是可以被欺騙的，但是氣息不能，一個機器人無論偽裝得再怎么逼真，都不能具備生命體的氣息，但是它能欺騙人類的視覺和聽覺，這就足夠了。 后門技術(shù)從誕生到現(xiàn)在，已經(jīng)發(fā)展了好幾代，對自身的偽裝技術(shù)也越來越成熟了，從最初的啟動項結(jié)合隱藏進程方式，到最新的Ring0驅(qū)動方式，我們越來越難發(fā)現(xiàn)這些“客人”的痕跡，當它開始破壞的時候，已經(jīng)來不及做補救措施了，所以，我們需要一種可以嗅出后門氣息的“狗”。 1.準備工作 在進行一切工作之前，用戶需要對系統(tǒng)有點了解，例如注冊表、啟動項、服務(wù)、常見的程序和進程名等，這是學習手工查毒最基本的要求，在初期可以多參考一些介紹系統(tǒng)概念的文章如到處都流傳的“系統(tǒng)進程詳解”、“WinXP系統(tǒng)服務(wù)簡介及優(yōu)化措施”等，并做一點筆記，力求日積月累盡快記住一些最常見的系統(tǒng)程序和相關(guān)工具的使用方法，如果過不了這個門檻，后面的工作也就無從談起。 首先，我們必須了解Windows系統(tǒng)的三大知識點：注冊表（Registry）、進程（Process）和權(quán)限（Privilege）。 “注冊表”是出現(xiàn)在Windows 95及以后版本的一種數(shù)據(jù)庫。在這之前，用戶要對軟硬件工作環(huán)境進行配置，就要修改一種被稱為“配置設(shè)置”（INI）的文件來完成，但是由于每種設(shè)備或應(yīng)用程序都得有自己的INI文件，無形中增加了管理難度，為了解決這個問題，微軟開始統(tǒng)一標準并將各種信息資源集中起來存儲，最終形成了將應(yīng)用程序和計算機系統(tǒng)配置信息容納在一起的“注冊表”，用來管理應(yīng)用程序和文件的關(guān)聯(lián)、硬件設(shè)備說明、狀態(tài)屬性以及各種狀態(tài)信息和數(shù)據(jù)等，注冊表維持著整個系統(tǒng)的正常運作。 注冊表采用一種類似文件目錄的結(jié)構(gòu)樹來描述配置信息，最頂端的5個項目稱為“根鍵”（ROOT_KEY），系統(tǒng)能識別的所有的數(shù)據(jù)都是從它們這里展開的，這5個根鍵分別是： HKEY_CLASSES_ROOT（負責各種組件注冊類別和文件并聯(lián)信息） HKEY_CURRENT_USER（當前登錄用戶的環(huán)境信息） HKEY_LOCAL_MACHINE（整個系統(tǒng)的公共環(huán)境信息） HKEY_USERS（所有用戶的環(huán)境配置信息） HKEY_CURRENT_CONFIG（當前的配置信息） 其中，我們主要關(guān)注的是前面三個根鍵里的數(shù)據(jù)，它們是后門最愛篡改的地方，分別是三個啟動項目“HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run”、“HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run”和“HKEY_LOCAL_MACHINESoftware Microsoft Windows CurrentVersion RunServices”，一般的后門都要通過修改這里加入自己的配置信息以達到跟隨系統(tǒng)啟動的目的；除此之外就是文件并聯(lián)信息“HKEY_CLASSES_ROOT”，并聯(lián)型后門最愛更改這里的.exe、.bat、.scr、.com等可執(zhí)行文件的注冊信息，讓自己搶先一步運行。更多涉及到的注冊表內(nèi)容以后會提到，現(xiàn)在讓我們來看看進程是什么。 “進程”，是指一個可執(zhí)行文件在運行期間請求系統(tǒng)在內(nèi)存里開辟給它的數(shù)據(jù)信息塊，系統(tǒng)通過控制這個數(shù)據(jù)塊為運行中的程序提供數(shù)據(jù)交換和決定程序生存期限，任何程序都必須擁有至少一個進程，否則它不被系統(tǒng)承認。進程從某一方面而言就是可執(zhí)行文件把自身從存儲介質(zhì)復制在內(nèi)存中的映像，它通常和某個在磁盤上的文件保持著對應(yīng)關(guān)系，一個完整的進程信息包括很多方面的數(shù)據(jù)，我們使用進程查看工具看到的“應(yīng)用程序”選項卡包含的是進程的標題，而“進程”選項卡包含的是進程文件名、進程標識符、占用內(nèi)存等，其中“進程文件名”和“進程標識符”是必須掌握的關(guān)鍵，“進程標識符”是系統(tǒng)分配給進程內(nèi)存空間時指定的唯一數(shù)字，進程從載入內(nèi)存到結(jié)束運行的期間里這個數(shù)字都是保持不變的，而“進程文件名”則是對應(yīng)著的介質(zhì)存儲文件名稱，根據(jù)“進程文件名”我們就可以找到最初的可執(zhí)行文件位置。 最后是“權(quán)限”，這里涉及的權(quán)限是指80386模式的Ring權(quán)限。操作系統(tǒng)是由內(nèi)核（Kernel）和外殼（Shell）兩部分組成的，內(nèi)核負責一切實際的工作，包括CPU任務(wù)調(diào)度、內(nèi)存分配管理、設(shè)備管理、文件操作等，外殼是基于內(nèi)核提供的交互功能而存在的界面，它負責指令傳遞和解釋。由于內(nèi)核和外殼負責的任務(wù)不同，它們的處理環(huán)境也不同，因此處理器提供了多個不同的處理環(huán)境，把它們稱為運行級別（Ring），Ring讓程序指令能訪問的計算機資源依次逐級遞減，目的在于保護計算機遭受意外損害內(nèi)核運行于Ring 0級別，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有Ring 3級別，這個級別能操作的功能極少，幾乎所有指令都需要傳遞給內(nèi)核來決定能否執(zhí)行，一旦發(fā)現(xiàn)有可能對系統(tǒng)造成破壞的指令傳遞（例如超越指定范圍的內(nèi)存讀寫），內(nèi)核便返回一個“非法越權(quán)”標志，發(fā)送這個指令的程序就有可能被終止運行，這就是大部分常見的“非法操作”的由來，這樣做的目的是為了保護計算機免遭破壞，如果外殼和內(nèi)核的運行級別一樣，用戶一個不經(jīng)意的點擊都有可能破壞整個系統(tǒng)。但是現(xiàn)在，Ring已經(jīng)屢屢被后門木馬利用成為一個令人頭痛的兇器。 2.進程偽裝型后門的殲滅 最初的后門靠注冊“系統(tǒng)服務(wù)”的方法在Win9x系統(tǒng)里隱藏自己的運行信息，到了NT架構(gòu)里，這個方法失效了NT家族自帶的任務(wù)管理器（Task Manager,TaskMgr.exe）把所有普通進程都一視同仁的顯示出來，連初級用戶都能輕易發(fā)現(xiàn)后門運行的痕跡，于是后門制造者開始攻克心理學和障眼法，讓后門進程在任務(wù)管理器里把自己標榜為“系統(tǒng)關(guān)鍵進程”，達到欺騙用戶的目的。 我們都知道，任務(wù)管理器列出的眾多進程里包含著一部分“關(guān)鍵進程”，它們是無法通過任務(wù)管理器中止的，而且許多文章也會提到相關(guān)進程名，久而久之，我們又養(yǎng)成一個習慣：查看進程信息時，只要看到熟悉甚至類似的進程名就忽略不計了，僅僅去尋找不熟悉的進程名，于是后門制造者就直接利用這個心理暗角配合路徑遍歷法則，讓后門進程顯示為“smss.exe”、“svchost.exe”、“l(fā)sass.exe”、“csrss.exe”、“winlogon.exe”等關(guān)鍵進程名就欺騙了用戶和任務(wù)管理器。 在這種情況下，系統(tǒng)自己的任務(wù)管理器已經(jīng)不能信任了，因為它遺漏了最重要的路徑信息，后門就利用了這一點它可以把自己偽裝成svchost.exe放到Windows目錄下，然后在注冊表啟動項里加上不帶路徑信息的“svchost.exe”信息，系統(tǒng)在根據(jù)目錄遍歷法則一層層深入尋找svchost.exe時會在Windows目錄里發(fā)現(xiàn)并執(zhí)行它，而真正的關(guān)鍵進程svchost.exe是在SYSTEM32里的，而且它也必須通過“服務(wù)管理器”（Service Control Manager,SCM）加載，于是任務(wù)管理器會顯示多個svchost.exe進程，但是由于缺乏路徑指示，我們根本不知道系統(tǒng)已經(jīng)多了一個假的svchost.exe。即使我們發(fā)現(xiàn)了它是假的，也無法用任務(wù)管理器終止它的運行，因為任務(wù)管理器只是簡單的判斷了文件名就認為它是“關(guān)鍵進程”了，自然不會讓你終止。類似的后門偽裝文件名還有“SYSTEMrundll32.exe”、“SYSTEM32rundll.exe”（NT架構(gòu)里根本沒有rundll.exe這個程序）、“SYSTEMservices.exe”等，要發(fā)現(xiàn)并殲滅這些后門，除了要求我們對常見的系統(tǒng)關(guān)鍵進程有所了解以外，還需要第三方提供的擴展任務(wù)管理器協(xié)助，例如Windows優(yōu)化大師攜帶的進程查看器，用它便可迅速發(fā)現(xiàn)路徑不對的“假兄弟”。 其實最迅速的查找方法是運行“系統(tǒng)配置實用程序”（MSCONFIG.EXE），切換到“啟動項”，如果在這里發(fā)現(xiàn)了“系統(tǒng)關(guān)鍵程序”的信息，那它一定是假的。 3.服務(wù)欺騙型后門的戰(zhàn)役 Windows的任務(wù)管理器不可終止兩種程序的運行：一種是關(guān)鍵進程，另一種是通過服務(wù)管理器SCM啟動的系統(tǒng)服務(wù)程序（NT-Service），所以一部分后門制造者設(shè)法把后門做成服務(wù)形式，讓SCM直接幫助啟動服務(wù)進程，不再借用注冊表啟動項加載，這樣即使是對注冊表啟動項有一定了解的用戶也難以發(fā)現(xiàn)異常，而且就算他想終止任務(wù)管理器里顯示的奇怪進程，也會被拒絕，如果用戶對服務(wù)管理器的了解不深，那他將會在眼花繚亂的服務(wù)面前變得束手無策。 這時候，我們又需要請“系統(tǒng)配置實用程序”出山了，切換到“服務(wù)”選項卡，把“隱藏所有Microsoft服務(wù)”，這里就只顯示非微軟開發(fā)的普通服務(wù)程序列表了，包括服務(wù)欺騙型后門的服務(wù)項，一般它會包含欺騙性質(zhì)的字符或者偽裝成某廠商的服務(wù)名，如“Rising Virus Monitor”（瑞星監(jiān)控）、“Macromedia License”等，記住這里顯示的列表名稱，接著運行“服務(wù)管理器”（Services.msc）找到對應(yīng)的項目，看看屬性里的文件和路徑是不是真的，如果你并沒有安裝KAV、MCAFEE這些殺毒軟件而SCM里卻找到對應(yīng)項目的話，它就是狡猾的后門沒錯了。一些間諜軟件還會自作主張的把自己命名為“Windows Print Controller”，簡直就是無視系統(tǒng)自身的“Print Spooler”服務(wù)。 找到這類后門后，不要急著終止它的運行，既然后門作者知道SCM能直接停止它們，就必然會做一些復活措施，所以我們必須先把后門服務(wù)的“啟動類型”設(shè)置為“禁止”，然后重啟一次確保后門程序無法跟隨系統(tǒng)啟動，這時候才能開始清理后門。其中文件的路徑信息SCM已經(jīng)提供給我們了，直接在磁盤上找到刪除即可，但是服務(wù)項目不能直接用SCM刪除，要刪除這個殘留的服務(wù)項，首先要對系統(tǒng)服務(wù)有個最初的概念。 官方對系統(tǒng)服務(wù)的定義如下： 在NT架構(gòu)系統(tǒng)中，服務(wù)是指執(zhí)行指定系統(tǒng)功能的程序、例程或進程，以便支持其他程序，尤其是底層(接近硬件)程序。通過網(wǎng)絡(luò)提供服務(wù)時，服務(wù)可以在Active Directory中發(fā)布，從而促進了以服務(wù)為中心的管理和使用。服務(wù)是一種應(yīng)用程序類型，它在后臺運行。服務(wù)應(yīng)用程序通?？梢栽诒镜睾屯ㄟ^網(wǎng)絡(luò)為用戶提供一些功能，例如客戶端/服務(wù)器應(yīng)用程序、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器以及其他基于服務(wù)器的應(yīng)用程序。 既然服務(wù)自身也是獨立出來的程序，它就必須有一個加載的入口，我們可以把這個入口理解為第二個啟動項，這個入口是由SCM負責的，無論是什么身份的用戶進入系統(tǒng)，SCM啟動服務(wù)的位置都固定在注冊表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里，所以只要找這個分支就可以發(fā)現(xiàn)所有服務(wù)也許你會說，這里顯示的名字似乎都毫無意義，我怎么知道哪個是我正在找的？其實很簡單，我們回到SCM，查看一個服務(wù)的屬性，例如“DNS Client”服務(wù)，它的屬性里寫著“顯示名稱：DNS Client 服務(wù)名稱：Dnscache”，現(xiàn)在回到注冊表分支，查找“Dnscache”，就會看到它是CurrentControlSet ServicesDnscache，這就是我們在SCM里看到的“DNS Client”服務(wù)，如果你刪除掉“Dnscache”項目，那么整個“DNS Client”服務(wù)也就消失了。以此類推，很快就可以清理掉服務(wù)欺騙型后門。 4.最艱難的尋找：Ring 0后門 隨著安全技術(shù)的發(fā)展和計算機用戶群的技術(shù)提高，一般的木馬后門越來越難生存，于是一部分有能力的后門作者把眼光投向了系統(tǒng)底層Ring 0。位于Ring 0層的是系統(tǒng)核心模塊和各種驅(qū)動程序模塊，所以位于這一層的木馬也是以驅(qū)動的形式生存的，而不是一般的EXE。后門作者把后門寫成符合WDM規(guī)范（Windows Driver Model）的驅(qū)動程序模塊，把自身添加進注冊表的驅(qū)動程序加載入口，便實現(xiàn)了“無啟動項”運行。一般的進程查看器都只能枚舉可執(zhí)行文件EXE的信息，所以通過驅(qū)動模塊和執(zhí)行文件結(jié)合的后門程序便得以生存下來，由于它運行在Ring 0級別，擁有與系統(tǒng)核心同等級的權(quán)限，因此它可以更輕易的把自己隱藏起來，無論是進程信息還是文件體，甚至通訊的端口和流量也能被隱藏起來，在如此強大的隱藏技術(shù)面前，無論是任務(wù)管理器還是系統(tǒng)配置實用程序，甚至系統(tǒng)自帶的注冊表工具都失去了效果，我們不得不借助于更強大的第三方工具。幸好，一部分持有編寫Ring 0程序能力的人并沒有加入Ring 0木馬的陣營，而是把技術(shù)用到了安全檢查方面，于是我們有了IceSword、RootkitRevealer、knlsc等優(yōu)秀的檢測工具。 一般的進程工具是運行在Ring 3級別的，它們讀取的依據(jù)來自Ring 0層，這些數(shù)據(jù)是可以被運行于Ring 0級別的木馬修改的，所以它們根本無法得知木馬程序信息，而IceSword等檢測工具不同，它們和Ring 0木馬一樣，也是通過驅(qū)動的模式進入Ring 0層工作的，不再需要從Ring 0層獲取信息，所以它們能得到未被木馬篡改的原始鏈表數(shù)據(jù)，例如最原始的進程信息，它是不能被更改的，如果木馬把它自身從原始進程信息里刪除，就意味著它要自我終結(jié)了。所以一旦有進程工具從 Ring 0層直接讀取了原始數(shù)據(jù)，再把這個數(shù)據(jù)和Ring 3層獲取到的進程列表比較一下，就能迅速發(fā)現(xiàn)哪個是拼命隱藏自身的木馬程序了。很巧合的是，驅(qū)動程序和系統(tǒng)服務(wù)共享同一個加載入口，即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices，只要查找相應(yīng)的Ring 0木馬文件名，就會發(fā)現(xiàn)它，刪除掉注冊表的加載數(shù)據(jù)后重新啟動計算機，再刪除掉木馬文件就可以解決了。 5.清理不受歡迎的附屬產(chǎn)品 “21世紀什么最貴？人才！”天下無賊 黎叔說的這句話固然無可厚非，只是他大概不知道，在21世紀的網(wǎng)絡(luò)上，網(wǎng)民最恨的就是一部分利用歪點子制造“廣告軟件”（Adware）和“流氓/間諜軟件”（Spyware）的“人才”。如今的網(wǎng)絡(luò)已經(jīng)被這些不受歡迎的軟件使用捆綁戰(zhàn)術(shù)給占領(lǐng)了，隨便下載個共享工具，有點良心的會在安裝界面里默認打上“安裝附屬產(chǎn)品”的勾，更多的則是一口氣給你把所有附屬工具都裝上了，許多用戶在安裝了一些共享軟件后，突然發(fā)現(xiàn)瀏覽器多了一堆這個條那個霸的，想要卸載時卻發(fā)現(xiàn)所謂的卸載程序只是個把用戶當小孩來哄的界面！可以說，這些惡意軟件才是當今網(wǎng)絡(luò)最令人厭惡的東西，“流氓軟件猛于后門也”！ 與各種后門木馬的意圖不同，惡意捆綁軟件的立場是自家公司的利益，它們一般不會攜帶破壞性質(zhì)的代