流氓软件的检测与清除研究技术

共享软件、搜索引擎劫持、自动拨号软件、网络钓鱼等。

根据流氓软件的定义及特点分析，从消费者受侵害的种类角度，本文把个人信息安全性、软硬件稳定性、用户使用便捷性三个方面分别定义为评价流氓软件的一级指标，然后再分别从这几个方面出发，将其分解为更具体的二级指标，最终建立一个二级指标体系，其中包括3个一级指标、12个二级指标。各级指标及二级指标的解释如图所示。

6.2 评价指标体系的特点

本指标体系具有相对性的特点。相对性是指评价指标是在基本相同的条件和环境下，不同流氓软件之间所进行的比较。基本相同的条件和环境是指时间、地点、测试人员、设备、测试内容等条件基本相同。

各个指标的评价满分均为10分，分数越高，该指标下的恶意程度越高。

第七章：流氓软件的检测与清除

7.1 检测软件应用

7.1.1 TcpView

TCPView是一个查看端口和线程的小工具，只要木马在内存中运行，一定会打开某个端口，只要黑客进入你的电脑，就有新的线程，tcpview虽然是静态表示端口和线程的，但是它方便，占用资源少! 第一步 ：在虚拟机中打开软件

第二步：在虚拟机中运行“很棒小秘书”流氓软件

然后在tcpview中查看“很棒小秘书”的端口，右键 end process，即可关闭此流氓软件的端口，还可以右键属性查看该文件的位臵，对其删除。

在ProcessExplorer中找出流氓软件的进程右键终止。

7.1.2 regshot

RegShot 是个简单，实用的注册表比较工具，它通过两次抓取注册表而快速地比较出答案。它还可以将您的注册表以纯文本方式记录

下来，便于浏览；还可以监察 Win.ini，System.ini 中的键值；还可以监察您 Windows 目录和 System 目录中文件的变化，为您手工卸载某些软件创造条件。

第一步：在干净的虚拟机系统中运行regshot

点击快照A 将全部注册表保存在桌面 文件A；

然后运行流氓软件“很棒小秘书”，在regshot中点击快照B，同时将全部注册表保存在桌面 文件B；

最后点击比较选中文件A 和文件B ，进行比较即可很清楚看见流氓软件运行前后对注册表的改变，同时也可以对注册表进行修复。 修复注册表，可以选择导出未运行“很棒小秘书“前的导出注册表Report.1.Undoreg.txt重新导入，即可修复