“流氓软件”预防技术的探究

“流氓软件”预防技术的探究目录TOC\o"1-3"\h\u265701研究的意义和目的 1287251.1研究流氓软件的意义 1127341.2流氓软件的发展历史 178671.2.1恶意页面编码时代 1156561.2.2插件推广 18001.2.3软件束缚时代 264431.2.4加密技术的兴起 2317801.2.5研究的目的 233591.3国内外对流氓软件的相关治理 2289071.3.1国外对流氓软件的治理 2296951.3.2国内对流氓软件的治理 3182482我国现阶段的互联网软件发展情况 6164013流氓软件概述 695333.1什么是流氓软件 6206933.2流氓软件的特点 681033.3常见流氓软件类型 7219023.4“流氓软件”运行原理和技术的研究 9182313.4.1流氓软件的工作原理 922623.4.2软件的主要入侵方式 10199913.4.3运行原理及过程 10138603.5流氓软件与病毒软件的区别 1151153.5.1目的不同 11164293.5.2破坏程度不同 1149673.5.3传染性 11223933.5.4使用后果 12170074流氓软件发展的原因 12191304.1巨大的商业利益 12190114.2用户安全意识缺乏 12262644.3厂家道德意识淡薄 13215664.4相关法律不建全 13186995流氓软件的预防技术 14246635.1流氓软件的典型软件行为 14277855.2遏止流氓软件运行的系统设计与实现 15307525.3WindowsAPI拦截技术研究 1644885.4系统的运行过程 21273205.5系统应用测试 2184845.5.1系统运行的环境 21249245.5.2系统功能测试 21148295.5.3系统性能测试 25229116流氓软件的预防措施 26246146.1提高防范意识 26144756.2使用正版软件 26217586.3预防非法软件 2737676.4利用数字签名技术预防 27298296.5利用安全工具的使用技术预防 2824626.6IE使用中的技术预防 28144547结论 3023673参考文献 3011777致谢 31

摘要：时代在进步,网络在发展,21世纪以来，随着计算机网络技术的快速发展和互联网应用的广泛普及，在网络中存在的安全隐患问题越来越受到网络管理人员的重视。现在网络已经成为人们交流的主要途径，然而网络在传播一些科技工具与技术的同时，恶意软件也开始出现，带给人们很多烦恼和困惑。现在对计算机用户日常造成干扰和对用户的个人隐私的保护决不只有病毒,和黑客,还有越来越多日益壮大且很难根除的“流氓软件”。本文分析了“流氓软件”与其他软件的区别、特点以及类型进行了阐述。进而对其工作原理、入侵方式以及运行原理等方面进行细致的研究。进一步对“流氓软件”能够快速发展的主要动因进行挖掘。本文针对“流氓软件”的特点、类型及其运行原理的基础上提出一些针对性的预防技术,通过WindowsAPI拦截技术对“流氓软件”进行预防，并给出了测试与分析。同时，针对“流氓软件”的问题，本文也对提出了预防“流氓软件”的措施。通过预防技术与预防措施相结合，以达到净化网络环境,保护计算机用户的个人隐私的目的。关键词:“流氓软件”；预防；拦截；技术研究1研究的意义和目的1.1研究流氓软件的意义在飞速发展的网络时代，中国的网络用户人数与规模都在快速增长，有着坚实的网络基数，有些奸商就会想方设法从中国网络用户身上获取利润；中国拥有大量的互联网用户，然而他们在利用互联网和发掘信息方面的能力却参差不齐，这就给了不法分子制造和传播流氓软件的机会。因此，对流氓软件的识别、防治具有较高的意义，本文选取了“流氓软件”与其它软件的区别、种类及危害进行了分析；同时，根据其运作机理，提出了相应的预防和控制对策，以期实现对网络空间的清理，维护网络环境，进一步保护网络使用者的隐私[1]。1.2流氓软件的发展历史2005年6月，恶意程序已经在互联网上引起了广大网民、社会各界以及专业人士的高度重视。那么，“流氓软件”是怎样产生并发展起来的呢？其产生的过程可以归纳为四个阶段：网络恶意代码、插件泛滥、软件捆绑、流氓软件病毒化”。1.2.1恶意页面编码时代自2001年起，有些不良网址任意更改了使用者的网页，将不良程式码置于使用者的网页内，在使用者单击该网址时，将使用者的IE浏览器首页变更或连结至非法网址[2]。网络使用者每次打开浏览器，都会被强行点开相应的非法网址，影响到网络用户的日常使用，或者是通过该种手段进行相应的商品宣传，当时这种方式极为猖獗。曾经，有一个不法网站把用户的网页改成了“/”，而IE的标题则变成了“欢迎来到花谷！”。另外，该软件还可以关闭IE设置，注册表编辑，DOS等十几个重要的系统特性。这样的行为，不仅会对使用者造成极大的困扰，不法分子还能够借此来提升网站的流量，进而获取不法利益。1.2.2插件推广自2003年起，“中国网路冲浪”在中国掀起一股新的热潮。“中文互联网”是指把中国地区划分成若干个不同的站点，这样当人们键入中国企业或网址后，就可以直接进入该站点，这一点被一些“中文互联网服务”公司所采用。2005年年初，由于“中国上网”公司之争，愈来愈多的本地网路制造商认识到，在推动插件程式方面有很大的发展空间及商机，因此也相继推出自己的插件产品。这就导致用户在浏览一些特定的站点时往往被迫在其上安装大量的附加程序和工具栏软件[4]。而当这种状况不断加剧时，使用者们就会对这样的插件产生不满情绪，他们把那些不请自来的程序称为“流氓软件”。1.2.3软件束缚时代从2005年开始，我国的“盗版”问题滋生，并且愈演愈烈，很多应用和软件一经发布就被人攻破，而开发者则是靠着软件登记费来挣钱，因此他们只有靠非法软件来赚钱。另外，有些商家也在帮着不良软件发布者打广告，利用恶意软件对弹窗广告进行大范围的覆盖，以此来获取稳定的盈利，从而建立起一条完善的不良软件产业链条[5]。1.2.4加密技术的兴起随着恶意程序的发展，勒索程序也随之产生。这是一种针对电脑系统的恶意程序。较早的时候，恶意软件被界定为一种程式，藉由恶意植入把程式插入到用户的电脑中，进而对系统的信息等进行入侵与盗取。它的产生与发展绝非偶然，它是恶意软件演化到一定阶段的结果[6]。伴随着网路科技的持续进步、密码科技的进阶、网络的的成长与用户的普遍化，使得软件更加容易扩散，且较为廉价。而随着网络技术的发展，网络交易的安全性越来越高。勒索程序就像恶梦般地在计算机上浮现，并让计算机被感染[7]。1.2.5研究的目的文章通过对“流氓软件”的分析，根据其工作及运行原理，提出了相应的防范和控制对策，以期实现对网络空间的清理，净化网络环境，保护广大网络使用者的隐私。1.3国内外对流氓软件的相关治理1.3.1国外对流氓软件的治理针对日益增多的网络犯罪，世界上许多国家纷纷从不同角度对其进行治理。美国是“流氓软件”发展较快的国家，同时也是打击手段发展最快、效果最好的一个，其具体做法有以下三个方面。（1）政府健全法律构建完善的法规制度，进而能够根据相应的法律条文使“流氓软件”得到相应的制裁。根据间谍软件专家和间谍软件立法人员BenEdelman本德尔曼的说法，联邦及各州法律的不断完善，可以帮助对“间谍软件”进行有效的控制与打击。随着使用间谍软体盗取个人资料的“窃贼”数量的急剧上升，政府终于针对该问题进行了反应。美国尤他州率先投票通过了其首部非法软体法案，而美国加利福尼亚州则通过了《保护消费者反间谍软件法》[8]。这也是美国加州首次实施间谍软体的法案[9]。这项法律清楚地规定，软件不允许使用下列欺诈手段：更改特定网络浏览器的设定、搜集可识别的资料、不让使用者移除或停用安全软体、或者尝试去操控一个使用者的电脑。按照《美国侵权法(第二次重述)》的说法，“由于间谍程序的入侵，会降低系统的运行速度，降低系统资源，弹出广告，会造成物品的状态、质量和性能的下降，已经构成了损害财产的行为[10]。因此，美国的EntemetMediaIne公司、Conspy&Co．Inc公司和1wenuneS公司被法庭给予关闭的处罚，其原因是其将不良程序与手机铃声、音乐程序以及其他自由软件进行绑定[11]。（2）安全厂家研究和查杀各网络公司加大了对“流氓软件”的研究力度，并在反“流氓软件”的斗争中发挥着重要作用。Webroot发布了名为“SpySweeper”的防间谍程序。McAfee发布了McAfee反病毒软件，它能自动预防和防止用户受到来自于网络间谍和广告的攻击。赛门铁克与微软，雅虎，惠普、美国在线、麦克菲等公司组成了一个情报侦察软件联盟(Anti—SpywareCoalition)，联盟提出了一个关于间谍软件的概念，经过许多用户和行业机构的广泛参加，形成了一个统一的定义和规范。将防间谍软件添加到它的最新版本的诺顿杀毒程序。卡巴斯基杀毒软件能够检测到病毒，蠕虫，间谍，以及恶意的广告等，并对恶意软件做出相应的反应[12]。（3）商家抵制流氓软件企业与科研院所已展开了大规模的协作，共同打击恶意软体。谷歌，联想，SUN、哈佛法律学校伯克曼的网络及社交中心以及牛津的网际网路研究所，共同组建了“反流氓软件”联盟（StopBadwareCoalition）[13]。该联盟和谷歌进行写作，谷歌根据来自联盟的不良程序列表，如果使用者通过搜索结果浏览到的网页中含有恶意程序或者恶意程序，谷歌就会向你发出一个警报，提示你这个站点有潜在的危险。协助使用者辨识可能存在的隐患。IBM与安全公司BitDefender联手，将向IBM网络安全体系（ISS）提供BitDefender的防病毒和防间谍软件，以增强对现有的防病毒和防间谍组件的防护能力，使用户能够应对各种新兴的威胁[14]。1.3.2国内对流氓软件的治理著名的网络分析专家吕伯望告诉记者，虽然中美的网络起点都很接近，但是因为两个国家的司法系统和政府部门的行为不同，中国的网络对使用者权利的侵害远远大于国外。Google仅仅在Gmail上发布可以通过关键字进行检索，美国议会就要召开特别的听证会，来进一步确认该项内容是否会对使用者的隐私造成侵害。吕伯望表示，由于我国的法律还不健全，中国的网络公司几乎能够做到为所欲为，进而致使利用网络进行不法侵害的行为不断加剧。“流氓软件”的盛行与蔓延，造成网络使用者、商家与行业协会的困扰，进而使得包括传媒在内的多方势力都在积极地投入到“反流氓软件”的斗争中。最近几年，新闻媒介对“流氓软件”的集中曝光，对“流氓软件”进行了全方位的打击[15]。当前，中国对流氓软件的控制措施包括：由网络用户发起的“反流氓软件”组织对相关企业的起诉、由信息安全企业打击恶意程序、由行业协会倡导的行业自律、工信部设立投诉电话接受投诉、逐步完善相关法律和规定等措施。（1）软件行业自律所谓的“行业自律”，就是从推动整个产业的良性发展的角度出发，通过各产业的成员提高自身的自我约束能力，对恶意的软件进行严厉的打击，从而达到保护整个行业利益的目的，创造一个良好的产业生态。一项研究表明，在对抗“流氓软件”方面，大家更关心的是有关行业整顿以及有关的国家政策。瑞星（瑞星）日前发布《规范软件产品行为倡议书》，号召我国各大软件企业抵制“流氓软件”，以保障广大网民的合法利益，提高整体产业的信誉[16]。瑞星，新浪，搜狐，网易等十六个互联网和软件公司签订了《软件产品行为安全自律公约》，旨在以行业的自我约束来对抗“流氓软件”程序。可惜的是，这个行业的自我约束更多地体现在道德方面，即通过各产业的会员按照自己的规则来自发地对“流氓软件”进行反抗，并对自己的行为进行约束；然而，该条约缺少切实的约束和严厉的制裁。受巨额经济利润的驱使，开发“流氓软件”的企业与个体，仍未放弃生产与散布“流氓软件”的行为。虽然这种行为在实践中的作用并不显著，但它却为建立一个“反流氓软件”的良性市场生态奠定了基础[17]。（2）主管部门监督我国“反流氓软件”联盟与国内的软件行业联合发布了“绿色软件倡议书”，号召抵制“流氓软件”的开发和传播[18]。信息产业部向公众发布了针对“流氓软件”的投诉热线（010-12321)接收使用者的实时举报。然而，以这样的号召在控制“流氓软件”方面还远远不足。要想彻底消除“流氓软件”，必须从行业发展的角度，建立良好的行业生态，建立健全的行业生态，才能真正地消除“流氓软件”。紧随其后的是信息保障企业开发了专门的杀毒软件。由于IT企业在防病毒方面有着雄厚的技术力量，并且在针对“流氓软件”方面有着独特的优势。当前，我国各大信息安全公司都已经发布了针对“流氓软件”的专门清除工具，有些“杀毒软件”产品制造商甚至声称“不管遭遇何种困境，我们都要将“流氓软件”彻底拦截”。在这类企业中，瑞星是第一批针对“流氓软件”进行防范的企业。瑞星于2003年3月，在“杀毒软件”2002加强版本中，增加了网页监视及脚本监视功能，协助使用者应付网络上的“流氓软件”入侵，并收到良好的控制成效。在2004年12月，瑞星“杀毒软件”2005版本中整合了“登录监视”这一特性，已是对付“流氓软件”的强大利器。在2005年1月，瑞星公司推出了一个免费的登录系统修补程序。2005年6月28日，瑞星官方发布“卡卡网络助理”1.0版本，通过实际行动对“流氓软件”进行有效的反击。在2006年11月14日，瑞星公司发布了一款名为“卡卡助理3.0O”的产品，它整合了“碎甲”的独特功能，可以完全清除“流氓软件”，并且保证对所有的使用者都是免费的。在去年11月份，瑞星公司接到客户的举报，发出了对“myl23”，“7939.Com”，“3448.Com”等三款“流氓软件”的拦截，决心对这类具有严重威胁的“流氓软件”进行彻底的整治[19]。然而，信息安全企业的反制行动也遇到了许多难题，首先“流氓软件”在不断异变，特别是逐渐地朝着病毒式的方向发展，从技术上来说，很难完全消除流氓软件。另外，在现行的司法实践中，对于“流氓软件”的界定并不清晰，加之软件不断地更新和迭代，使得现有的立法很难将其全部覆盖；若处置不当，将导致企业陷入不公平的市场竞争，从而产生潜在的法律风险。很多公司都在寻求政府的帮助，以防止间谍公司对其提起相应的法律诉讼。（4）政府完善法律打击“流氓软件”的非政府团体联合会已经对北京的易趣案和上海的“很棒小秘书”案进行了诉讼。然而，这些诉讼最终都以94元的赔偿而结束。“流氓软件”是一种侵害个人隐私、财产权利的行为，违反《消费者权益保护法》、《民法运机信息系统安全保护条例》、《电信条例》等规定。不过，反对“流氓软件”联合会的一位律师黄锦深表示，制作和传播“流氓软件”已经严重侵害了网络使用者的正当权利，而在我国现有的法律条文中，对该损害的计算方法却仍处于一片空白。而且，“反流氓软件”对中搜网提出了94块钱的索赔，不管这场官司是胜是败，都不会对“流氓软件”的庞大资金流有任何改变。这就造成了网络用户权益难以得到保护，一些不法软件发行人也能通过“流氓软件”获取利益，从而造成了网络病毒泛滥的局面。“流氓软件”在计算机上的运行，无疑是对计算机使用者隐私的一种侵害。计算机是使用者的私有领地，而“流氓软件”则被强制装入使用者的个人计算机内，并且很难卸载。无论有何企图，这行为本身就是一种侵害他人隐私的行为。使用者应当运用现行法规来保护自己的权利。对于网络犯罪，目前尚无基本立法，仅就《民法通则》75条；《消费者权益保护法》第7条，第8条，第9条，第10条，第11条。对此，我们可以借鉴《计算机信息系统安全保护条例》、《电信条例》等有关部门的规定。由于越来越多的人意识到了“流氓软件”的危险性，相应的相关立法也在不断地改进。而这无疑是针对“流氓软件”的有效措施，但也需要大量的人力物力与时间成本。2我国现阶段的互联网软件发展情况针对当前我国泛滥的“流氓软件”，其扩散方式多种多样，而共享程序则是最主要的传播渠道之一。欧美地区的共享软件是指使用者先进行使用后，再进行支付报酬，且享有版权的软件。在国内，正版的软件和收费的软件是没有市场竞争力的，软件刚刚被开发出来就会被破解，进而都变成了免费的软件。软件的开发企业或个体不能够依赖于软件开发来获取相应的利润，而必须与其它类似的附加功能捆绑在一起才能获取利益。正是通过这种方式，“流氓软件”才能持续侵入用户的电脑，并向外传播。网络为商业的发展创造了良好的环境，同时也随之产生了一个全新的行业——计算机病毒行业。这个行业以计算机病毒及“流氓软件”为主，在网上进行秘密的交易。一旦用户支付了费用，就会通过非法网站，电子邮件，P2P等方式散布到整个互联网，导致大批的网络使用者受到攻击。其主要的目标有几种，第一个目标就是利用“流氓软件”窃取使用者的各个账户和密码，将其用于贩卖或者从事其它违法行为。二是利用“流氓软件”、病毒等手段，通过远程操控，使大批的网站服务器及最终使用者沦为“僵尸”、“傀儡”，从而实施网上诈骗等违法行为。三是利用“流氓软件”散布，实施各类虚假的广告或其它不公平的市场竞争。3流氓软件概述3.1什么是流氓软件它是指当计算机用户在网上浏览时，意外地通过强制和非法的方式迫使用户所访问的页面首先跳跃到某些商业网站，乃至是色情网站，或是当用户在下载该程序时，被绑定地下载了大量的盗版内容。基于通过这种方法来影响使用者的经验并通过不透明的方法来提升网页流量，从而获得了广告费用以及应用推广费用等不法收益。3.2流氓软件的特点“流氓软件”就是介于病毒与一般的软件之间的一种软件程序。当计算机中存在流氓程序的时候，当用户用电脑上网的时候，就会有很多的广告，比如一些药品或者产品的广告。电脑的浏览器在不知不觉中发生了变化，并且会频繁跳到很多没见过的网站，并出现大量的广告，其中一些网站上充满了色情的广告。有些基本的流氓软件并不妨碍使用者电脑的正常操作，但是在使用者打开电脑时，会出现一个附加页面，用以进行广告或促销。还有许多高级的流氓软件来盗取使用者的私人信息，比如手机号码、网络浏览记录、网页上的口令等。所以，流氓软件所造成的危害比我们所能想到的要大得多。为了实现上述功能，用户经常被要求输入可辨认的私人用户名、密码、账号、生日、社保号、信用卡号码等。因为这样的个人资料有可能会被用作诸如身份窃取、欺诈购买或其它此类用途，因此，会开发一系列的软件可以秘密地搜集用户信息并传送到第三方。另外，对于“流氓软件”，用普通的方式是无法将其进行卸载的，或者是不能全部卸载。对于大多数用户来说，要想卸载“流氓软件”是极为困难的，这只适用于一般的使用者，而非计算机专业人士。由于法律不可能规定人人都要精通计算机。操作标准为在卸载向导正常指引下即能完全删除。3.3常见流氓软件类型广告：这款“流氓软件”遍布整个互联网，甚至连新浪这样的大门户都能见到，经常以网页的方式出现在计算机用户端的右下方、左下方，其外观阻碍了使用者对普通资料的阅读，当使用者按下关掉按钮，他就会把使用者连结到其促销的物品网页；按顺序来达到宣传自身商品的目标，这样的“流氓软件”对使用者伤害不大，最终目标是促销自己产品。特点：以插件的方式，可在使用者不知道或没有使用者同意时，自行下载并安装，亦有部份是与其他软件组合而成。一种以安装后弹窗或其他方式进行的广告活动。大部分都是为了赚钱。在强行安装之后，不能将其卸载。危险：每次安装后都会跳出一些弹窗，这些弹窗会占用你的电脑系统，影响你的日常生活，降低电脑的运行速度，甚至导致你的电脑死机。表现：在浏览器栏或者Baidu、谷歌等搜索引擎中键入搜索关键字，例如电脑、软件等，都会出现有关企业的广告资料，让使用者不得不面临他们所不希望见到的那些广告窗口和有害的消息：当你装好某个下载软件之后，就会不断地弹出一些含有广告的窗口，影响人们的日常使用。另外有些应用，比如3721网络助手，在IE的工具条中加入了与其无关的页面连接和广告，一般人难以去除。间谍软件：一般是指在没有经过电脑使用者同意的情况下，从电脑上收集资料，然后把资料传送到第三方软体。这其中包括监控密钥，保密信息（密码，信用卡号码，PIN代码等），获取电子邮件地址，跟踪阅读习惯等等。特征：记录使用者的私人资料，而不经使用者同意而使用进行记录。当间谍软件在执行阶段，其内部的木马就会采取“进程插入”的手段。即将间谍软体的DLL档案插入普通程式程式的位址中，以达到本身侦测、窃取资讯的目标。其通常采用的方法是对键盘进行监控、收集保密资料（各类帐户及口令）、对使用者电脑中的档案进行扫描、取得电邮地址、跟踪网民的使用习惯；使用者操纵诸如运算之类的动作，以及为了不同的用途而将统计资料传回遥控指挥，等等，所以使用者所说的每一句话或每句话，都有可能被搜集。它是一种用户端软件，用来展示使用者的行为资讯，并且将搜集到的资料传送给远端电脑。危险：除了在采集数据的过程中降低电脑的速度之外，还比其他的“流氓软件”更具攻击性，它会通过一套特定的方法，从使用者的电脑中获取使用者的口令信息等资料，其中一些资料还被用来获取商业利润。一些资料被用于对他人的非法占有。表现：一些假冒的网络钓鱼程序以及冒充银行网址的网址来欺骗使用者递交帐户及密码，当使用者递交资料后，帐号及密码便会传送至攻击者手中。行为记录软件：该程序是一种在没有经过用户允许的情况下，对用户的隐私资料进行窃取、分析，并且将用户的电脑操作和上网阅读习惯等个人行为进行记录的一种程序。特点：在没有经过使用者允许的情况下，它会对使用者的各项隐私资料进行统计，并将这些资料进行归类，并将其“出售”到特定的商务公司或者组织中，供其进行相应的宣传或其他业务，从而获得不法利益。危害：侵害了使用者的个人资料，扰乱使用者的正常浏览，并有被黑客用作网络欺诈的工具。表现：该程序将对用户所浏览的站点进行后台统计，并对其进行分析，将其进行归类，并将其发送到专业的商务企业或者组织中，比如一家营销研究公司可以在许多站点上打出广告，再利用cookies来追踪用户的浏览行为；以此来研究使用者的一些行为特点。在此基础上生成一个弹出框欢迎词，并向其推荐相应的商品。恶意共享软件：恶意共享软件是指某些共享程序为获得利润，通过诱骗或尝试设置陷阱来迫使使用者登录，或者将各类未被许可的插件绑定到用户电脑中。如果强行让使用者在试验中登记，则会造成私人资料或其它资料的损失。整合了外挂程式的软件，可以拦截使用者的浏览器，盗取个人资料。特点：该恶意分享程序本质上具有某种实际意义，通常通过诱骗手段、试用陷阱等手段迫使使用者登录，或者将上述各种流氓程序与它的软件相结合，在没有得到许可的情况下，就把它们装进了使用者的计算机中。恶意卸载是指在使用者没有明示或没有经过使用者同意的情况下，误导或欺骗使用者卸载其他软体。危险：在试用期间，如果使用者没有缴纳一定的费用，就有可能失去自己的信息和其他信息，与之绑定的流氓程序也会给电脑带来危险。在此基础上，提出了一种新的安全策略，即：通过对不同类型的软件进行不同程度的攻击，使不同类型的软件在使用过程中产生冲突。表现：有些金融产品，试用期间内的财务信息全部遗失，仅需支付一定费用就可以重新购买此软件。自动拨号类软件：它是一种程序，在使用者不需要任何命令的情况下，它就会把设定好的电话号码拨出来。对使用者造成了直接的经济损失。这种电话一般都是打长途，或是语音通话，收费很高。链接：有的时候，我们想要点开某个影片的连接来进行下载，或是某个应用程序的连接来进行下载，如果我们点开了这个页面的一个连接，就会被迫首先连接到一个违法的站点上，在那里有很多没有发送的消息，还有一些色情软件的建议，乃至违法的违法行为；这种“流氓软件”的出现，不仅会极大地损害使用者的网络使用感受，而且还给很多不法分子打广告，宣传信息。捆绑下载：捆绑软件这个概念我们都很清楚，电脑使用者会从网上下载符合自己需要的程序，然后按照正常的网址样式和特征进行复制；大量的病毒被传播到了网上，很多电脑使用者根本分辨不出真假，就会在网上下载一些假的程序。只要用户点开一个绑定的软件，它就会给你的电脑上安装各种盗版软件、诈骗软件，还会把你的电脑上的病毒传播出去，这些软件通常都是很难下载的，这种绑定的软件不但会极大地消耗电脑的内存和储存；同时也存在着巨大的潜在危险，这就是最具代表性的“流氓软件”。3.4“流氓软件”运行原理和技术的研究3.4.1流氓软件的工作原理为何有很多正式的软件及网络公司，都对不良软体趋之若鹜。首先，互联网可以为许多企业带来商业机会。如今，随着获取更多的关注以及增加访问量，流量对于一个软件乃至一个公司来说都是非常关键的。无论网络上的创意有多好，它都不能维持企业长久的发展。于是，隐藏在互联网中的庞大利益，让“流氓软件”得以持续的发展下去。无论在现有的刑法或民事法律中，都无法为其提供良好的规范与边界。对于何谓“流氓”软件、“其质量特性”、“其存在与否”等问题，一直有争论。尽管业界组织也在自发地进行自我约束，但是在道德和利润之间，它们往往屈服于后者。可以说，正是由于这些法律法规的缺失，使得“流氓”软件有了可乘之机。然而，“流氓软件”并非毫无价值，也无法被消灭。相反，许多网民却对“流氓软件”产生了浓厚的兴趣。就拿3721网络助理来说，当时其网络服务可以达到90%中国的互联网用户，就是由于有IE浏览器的修补，轨迹整理，广告封锁、安全保护，插件管理等特性，对于广大网民，尤其是初学者来说，十分实用。许多网民称其为“绿色网络工具”。当然，由于有了这样的特性，盗取用户的个人信息变得更加容易。所以，在部分网民的拥护下，“流氓软件”继续耍流氓的理由之三。按照这种观点，“流氓软件”在短期之内将不会消亡，但仍将有较大的发展空间。传统的公司不能从诸如电脑病毒之类的黑客经济中逃脱，原因是“流氓软件”与计算机病毒有着巨大的差异。首先，电脑病毒是一种程式，它可以使系统功能受到损害，造成使用者资料的损坏，或是造成其它的不良影响。这种程式一般都会对电脑的用途造成影响，而且可能会自行产生。官方的软件是为了让使用者更好地利用电脑来工作、休闲，而对大众公开的软件。“流氓软件”介于两者之间。它包含了普通功能（下载、播放音乐等）和对使用者造成实际损害的恶意操作（播放广告、开启后门程序等）。但是，很多防毒软件都不能侦测到这一点。2011年3月3日——据英国《金融时报》报道，由于流氓软件对安卓操作系统的影响智能手机，美国科技集团谷歌（NASDAQ:GOOG）本周不得不从其Android市场撤回55个应用程序。3.4.2软件的主要入侵方式(1)利用ActiveX插件，通过对恶意站点的访问，将有关的链接导入到客户端。(2)将所述设备通过一种软件进行打包的方式进行安装；(3)被黑客和恶意软件主动入侵。3.4.3运行原理及过程“流氓软件”是由恶意程序在客户端上安装的，只有在系统允许的情况下才能实施它的恶意操作（如：在存储器中运行或者启动时自动启动）。“流氓软件”要首先被安装在电脑上，而安装的过程就是对改程序进行相应的解压操作，接着就是要执行安装程式、拷贝档案的流程；为了实现“流氓软件”的启动或驻留记忆，在设置进程中，不可避免地要修改登录。这种方式可以在启动后自动执行，将代码导入储存在记忆中，并在它执行时持续执行恶意行为。它和普通的软件的安装和操作有很大的不同之处：它在安装时没有得到使用者的许可或者在使用者不知情的情况下进行。而且在安装之后，它并没有像正常的软件那样，在一个明确的位置（比如桌面，开始的程序菜单）上建立连接，并且其为卸载设置各种阻碍。它的恶意行为执行流程大致可以归纳为：利用多种途径将病毒导入到使用者端-安装-更改系统档案（例如登录等）-执行一系列的恶意行为。3.5流氓软件与病毒软件的区别如果电脑病毒是黑的，而“流氓软件”则是灰的。这两个让人闻风丧胆的应用，到底有什么不同？为何不干脆称其为一种病毒，而将其单独列出呢？下文将从目的性、破坏度和传染性和使用后果来将两种软件进行对比：3.5.1目的不同“流氓软件”侵害使用者的动机多为商业利润驱动，而电脑病毒侵害多为恶作剧、炫耀和报复以及政治军事等目的；以破坏或摧毁敌方电脑系统或程式为目标。3.5.2破坏程度不同网络实验室对其进行了调查，结果显示：对用户产生影响的“流氓软件”类型有40.73%为广告类型的“流氓软件”，行为记录软件有7.67%，劫持浏览器有9.5%，搜索引擎劫持有7.46%，恶意共享有9.32%。经过以上的分析研究，我们发现，在各种“流氓软件”中，有74.68%的流氓程序会对计算机的正常使用造成一定的破坏，间接对网络使用者造成相应的损害。而计算机病毒则是利用一个恶意的程序或命令来对计算机系统或数据进行污染，当计算机病毒获得了系统的控制权之后，就会让用户的电脑死机、系统崩溃、数据或系统文件被破坏、系统的设置被打乱，进而导致电脑不能重新启动。电脑病毒通常会对使用者造成巨大的经济损失。3.5.3传染性“电脑病毒”和“流氓软件”最大的区别就是它会传染，而“流氓”则不会传染。计算机病毒通过网页，电子邮件，移动存储设备等传播，能够引起计算机与软件之间的感染，以及计算机与计算机之间的感染。尽管某些“流氓软件”已经具有了“病毒”的特性，但是它们与普通的计算机病毒还是存在着根本的不同。“流氓软件”的“病毒”特性主要表现为利用Root访问等方式来实现自身的安全防护。一旦使用者的电脑中了该病毒，该病毒就会在后台中自行执行，并在其上安装“流氓软件”。此外，“流氓软件”在安装之后，还可以通过网络自动地下载并执行该程序，但这种行为并非是一种感染。国家反计算机入侵和防病毒总工程师金波明确指出，“流氓软件”并不适用于“电脑病毒”，电脑病毒是一种可以自行复制使用的命令和代码，它是一种编写或嵌入的电脑程序，使电脑的性能受到损害或损坏。而‘流氓软件’没有自我复制性”。3.5.4使用后果“流氓软件”在具备一定的实用性的基础上，也会生成一些恶意的活动。而这些实用的功能会在使用者不经意间触发传播，进而使得其能够在网络上大肆传播。但这种病毒，却是毁灭性的，纯粹是为了毁灭，并不会给使用者带来什么好处。4流氓软件发展的原因4.1巨大的商业利益“流氓软件”能够使一个站点在较短的时间内获得大量的用户数量和网页流量，从而产生较高的虚拟流量，虚高点击量，从而提升了网站的市场价值或者是吸引了更多的投资。由于中国目前的共享服务体系还不够健全，使得共享型软件的开发者难以从其注册费用中获利，只能通过与“流氓软件”进行绑定来赚取利益。“流氓软件”制造者和共享软件制造者以共享网络或关联企业所提供之收益。根据研究，每个插入程序成功安装在用户电脑上，广告公司都要向插入程序公司支付0.05到0.3之间的费用。一款插件“落户”一千万台计算机，软件公司就能获得五十万到三百万的利润。一台PC强制窗口的价格是6元一个IP，按照一千万的安装人数来看，一天一个广告，一天就是六万块钱。在如此巨额利益的驱使下，大量的“爱好者”致力于此类“流氓软件”的研发与分发，最终导致我们的使用者沦为了无辜的牺牲品。周鸿神是最早开发插件的开发者，也是3721实名推广人之一，从中获利颇丰。在实名制建设高峰时期，安装了七千万台电脑，中国网民中有90%以上都在有意识或无意识地使用了“实名认证”。根据周鸿讳的说法，目前3721网络实名每年能够收入2亿元，这其中还不算给予渠道合作公司的2亿元。4.2用户安全意识缺乏流氓软件的主要特点是在网络上进行秘密的传播。在“流氓软件”发展的初始时期，大多数的“流氓软件”都是“静悄悄”地进行侵入，而不会被使用者发现或抗拒。其中有些是应用类的，它可以为使用者实现实名制浏览、帮助查找、IE修复等功、清除使用轨迹、拦截广告、安全防止插件、以及其他一些有用的特性，这些都让使用者在享用这些自由的软件之余，放松了警惕。2004的一项调查显示，70%以上的使用者并没有意识到电脑上正在使用“流氓软件”。一项针对150位网络用户的问卷显示，94%的用户已知晓“流氓软件”超过一年，63%的用户为两年或两年以上，而令人意想不到的是，只有61%的用户发现了“流氓软件”。4.3厂家道德意识淡薄因为缺乏道德意识，以及技术的滥用，导致了“流氓软件”的出现，给人们带来了很大的安全性和隐私方面的威胁。一台IE浏览器的安全性不高的电脑，很有可能会在不经意间浏览到恶意网站，进而使得“流氓软件”自行安装到电脑上，其主要的载体是微软ActiveX技术。ActiveX是微软通过集成IE和操作系统而研发的一种新的技术，可以让IE进行很多其他软件无法完成的事情，比如播放动画，播放音乐，修改系统注册等。自从IE进入了浏览器领域之后，ActiveX就成为了众多程序员的眼中钉，一些程序员的作品，就成为了“流氓软件”，被大众所痛恨。BHO是BrowserHelperObjects（BrowserHelperObjects）的缩写，是IE的插件式技术。微软之所以会提供这样一个界面，就是为了让程序员能够更好地使用自己的浏览器，让自己的程序变得更加简单，而BHO也能够做到所有的流氓软件，最突出的就是“浏览器劫持”。每次打开一个新的浏览器，都会先检查登录中心对应的地方，看看有没有已登记的H0CIJSID，若存在，就单独地生成一个新的样本，然后将BHO的例子初始化，并在此基础上，建立一个互动的链接。BHO一旦建立，不但能获得不同的规范动作，而且能作出反应。您也可以自定义您的介面要素，如菜单，工具栏等。甚至还可以设置hook功能来监控你的浏览器的每一个动作。而黑客就是通过这种方式，来监视网络上的一切活动和资料。4.4相关法律不建全“流氓软件”未经使用者许可擅自采集数据，严重危害了使用者的隐私。通过分析，我们可以看出，目前我国的刑法和民法均未对“流氓软件”作出有效的规范，对于何为“流氓软件”和“流氓软件”究竟具备怎样的本质特征，“流氓软件”是否属于非法，尚无专门的行政机关对其进行规范。我国现行立法对“流氓软件”没有一个清晰的定义，各部门之间也没有相应的规范，所以目前还没有一个具体的立法来规范这种行为。所以，在网络用户与反病毒软件高举反“流氓软件”的大旗之后才发觉，当前在司法中，对于“流氓软件”的界定并不清晰；如果进行相应的诉讼，不仅得不到任何的法律保障，而且还会被指控不公平竞争的罪名，有可能受到相应的法律威胁。总而言之，“流氓软件”的庞大利润、网络使用者的安全防护意识薄弱、软件企业道德概念薄弱；再加上政府对此缺乏相应的法规，这才使得网络上的“流氓软件”变得更加猖獗。5流氓软件的预防技术5.1流氓软件的典型软件行为有些“流氓软件”的典型表现就是这些“流氓软件”在登录时所做的某些恶意行为。首先，我们要对注册表有一个大致的认识，注册表其实就是一个数据库，里面存放着很多的参数表，其中还存储着应用软件过程的相关配置信息和控制命令，而且有些特定的操作也是由此而来，例如，应用程序的开机启动指示，所有的命令都来自于此。注册表是操作系统的一个关键部分，没有了注册表，整个过程就会混乱，而且它的信息系统也不能被访问，这就包含了与该应用程序相关的运行信息；比如，某些应用程式的初始化标准，以及其他资料的卸载，都会保存在注册表中。由于注册表控制了所有设备的相关操作，所以对其进行集中防护也很重要。很多“流氓软件”都是以注册表为核心的，通过恶意的写入和修改注册表来达到自己的目标，它的目标是：（1）通过对注册表进行某些处理，可以获得诸如QQ的发行版等系统信息，例如，包含了该应用程序的存储路径以及起始数据等等。这种“流氓软件”主要是为了发现电脑系统和其它应用程序自身存在的缺陷，并通过这些缺陷渗透到操作系统中来进行某些违法活动。（2）当一个“流氓软件”为了达到可以自动启动，或是长期驻留在使用者电脑的存储器中时，就需要通过注册表来完成。当使用者电脑启动自动加载其系统注册表指定项下的应用软件程序以及其中的系统服务项时，仅通过向注册表中写出自己要实现的功能信息的有关指令，就可以悄无声息地开启，这样的行为非常隐秘，即使是杀毒软件也难以察觉。所以，当一个“流氓软件”拥有了操纵这个功能的键值时，就可以神不知鬼不觉地进入到系统的程序中，为以后的“破坏”创造条件。（3）若要更改系统的某些结构，或要执行对其他的应用程序的操作，则需要对注册表与其他应用程序相对应的特定键值进行更改，也唯有如此，它可以查找到相应的载体，从而将流氓软件的exe文件路径隐藏起来，从而达到对使用者计算机的各种破坏性行为：对IE浏览器的安全选项进行不合法的操作，例如阻止IE的正常执行，或开启某些安全选项。不能与其它软件一起运行（所有的不法操作都依赖于注册表）。因为键值对于注册表很关键，所以我们在此简要地讨论一下注册表的键值。注册表的键值都是根据某种逻辑次序和特殊的层级结构来保存的，在学习数据结构时，大家都知道，电脑中的全部资料都象一个目录那样，以树状的形式存放在一起；当然，在登录中心中也有这样的结构，因为注册表中的每一个键值所蕴含的信息都是不同的，比如我们可以将hkey_users和hkey_current_user作为一个比较，hkey_users和hkey_current_user，第一个功能是存储用户的预配置信息，另外还可以存储使用者的密码表和特殊的用户身份，并且只有通过这个关键字才能进行远程访问。这个功能是为了保存目前登录者的有关资讯，例如目前登录者的使用者名称，以及某些临时的登入密码。5.2遏止流氓软件运行的系统设计与实现针对遏止流氓软件系统的具体运用，由于应用软件种类繁多，每一个应用程序的结构和功能都十分的繁琐，所以很难对全部的应用程序进行设计，另外，要为每一个应用软件实体构建一个标准的程序的正常行为模型，其工作量也是十分巨大的，就算能够完成，它还将含有很多多余的信息。所以，我们可以采用对程序的操作进行实时监测的方式，在它还没有进行损害的时候，将它给拦截下来，这样就可以防止它对电脑造成伤害。要遏止这种有害的行为，就需要在其实施相应的危害活动前，将其扼杀在萌芽状态。根据其对“流氓软件”的界定，对要执行的应用程序进行分析，认为要执行的应用程序是一种具有积极行为的主体，而其所处的电脑则是一种被操纵的对象，那么遏止流氓软件系统所要实现的动态验证的基本概念模型如下图1所示。图1遏止流氓软件系统的基本概念模型当一个程序要被执行时，将其看成一个主动运行的主题对象，计算作为被操纵的对象。使用者（对象）通过对程序的行为特性进行确认，并通过截取到的应用程序的行为特点来判定，如果应用程序存在对注册表进行了恶意的更改，则该应用程序将被目标计算机的约束型“流氓软件”所禁止。约束“流氓软件”可以让它正常运作，并且不会对目标电脑进行恶意更改，也不会给电脑带来危险。拦截程序中的程序行为，通常采用拦截程序的方式，对此我们将在后面的章节中对其进行具体描述。对于应用软件的监控，抑制“流氓软件”的运行，是通过监控注册表的动态变化来判定的，若对注册表的更改是由普通的程序（通过了SHA1数据库的认证）运行的，则不会被阻止；而对于疑似的“流氓软件”，在未得到使用者许可的情况下，也会将其禁用。这是唯一能阻止“流氓软件”进入计算机的方法。5.3WindowsAPI拦截技术研究WindowsAPI拦截的主要目的是想提前一些对用户应用程序传递的某些数据进行处理，通过反馈回来的处理结果决定是否再调用原来的API函数。API拦截的原理可以分为以下两步：第一步先在目标进程以动态链接库的形式保留被截获的API代码，这样做的目的是决定最后调用的时候再将代码提取出来，第二步是让系统在调用我们截获的代码之前先调用我们写好的替代代码，这是通过修改目标进程里面的代码来实现的。拦截程序一般先要经过管理服务器，然后就是对某些相应的dll进行拦截。HANDLEWINAPIOpenProcess(DWORDdwDesiredAccess,//accessflagBOOL.bInheriHandle,/InheritanceflagDWORDdwProcesslu);//processidAPI函数拦截的过程简要概括来说主要有以下三点要做：（1）决定哪些进程的API函数是我们要拦截的对象，不同的拦截对象，我们采取的措施也是不一样的，举个例子我们只要在个别进程中插入拦截的dll代码，就能实现对这些个别进程的API函数进行拦截；（2）决定采用哪种DLL注入方法才是最恰当的，DLL代码的注入技术有许多，被写驱动层的程序员所熟知的也就是最常被用到的有两种：一种是操作系统的全局钩子技术(Windowshook)，另一种是利用其它的API函数来对相应的DLL进行注入；（3）采用哪种恰当API拦截机制才是最合理的，可以从内核层和用户层中选择进行，这要看应用程序实现功能的操作范围了，但是为了安全和快速起见一般都是在内核层中进行。API函数是Windows操作系统提供给编程人员的供其为实现应用程序某个特定功能而进行调用的应用程序接口。通过对系统API函数的调用用户的应用程序可以实现各种想要实现的系统功能，而且使用起来非常的方便和准确，因为有权利的约束所以对操作系统也不会造成任何破坏，而且用户应用程序申请某些系统服务的步骤是有条理的。用户的应用程序使用操作系统中的很大一部分资源都是通过这个函数来实现的，当然要实现对注册表的操作也不例外。HOOK又名钩子，顾名思义是用来钓某些东西的，它是操作系统提供的消息处理机制，编程人员一般用它来监视系统的一些操作消息。执行HOOK操作同样可以监视进程对API函数的调用。API函数的钩子不但可以对应用程序内存映像进行拦截从而可以对API调用进行重定向并且可以同时改变应用程序在内核层的具体流程，而且还可以控制应用程序对API函数的调用。HOOK技术通常被分为两类：一是用户级别的API钩子；二是内核级别的API钩子。前者是在操作系统的用户层管理模式下面工作的；而后者是通过驱动程序来实现的。它的原理也很简单，但实现起来较复杂。要在其他的进程中注入dll，就要求我们能在那个进程中调用LoadLibrary()API，但我们没有权限获得其他进程的执行控制权，幸好微软提供了一个函数CreateRemoteThread()可以在其他的进程中创建远程线程，而恰好线程函数的原型：DWORDWINAPIThreadProc(LPVOIDlpParameter);和LoadLibrary()的原型:HMODULEWINAPILoadLibrary(LPCTSTRlpFileName);HMODULE和DWORD都是双字节，调用方式都是WINAPI，LPVOID和LPCTSTR都是双字节指针，所以函数原型是一样的。从而利用CreateRemoteThread()来欺骗操作系统，使其执行LoadLibrary()API，如下：hThread=::CreateRemoteThread(hProcessForHooking,//要插入dll的进程句柄NULL,0,pfnLoadLibrary,//LoadLibrary函数的地址"C:\\HookTool.dll",//要注入的dll的全路径0,NULL);可以看出，采用这种方法的一个主要困难是要监视进程的创建和关闭，这样才能确保在所有的目标进程中注入dll，有关这部分的内容可以参考。关于遏止流氓软件系统的开发，主要设计思想是：流氓软件的侵入系统和安装都无法彻底和注册表脱离关系，这是系统的核心，因此可以在流氓软件修改注册表之前对其进行拦截，从而达到阻止流氓软件进入系统从而对系统破坏。通过客户端对应用软件行为的监测方法的研究，将系统获得的应用软件的SHA1值和名称经过DES加密后发给服务器端，在服务器端检测这个应用软件是否是正常合法的，利用监测应用软件的行为是否有对注册表做非法修改，来判断应用软件的流氓性，从而阻止流氓软件对计算机的破坏。这个系统将SHA1数据库从客户端分离出来，放在了服务器端，这样有很多方便之处，一方面避免了许多客户端的电脑冗余的数据存储，另一方面对于数据库的更新也很便利，只需更新一下服务器端的数据库。另外，本系统还有“自学习”的能力，当遇到有新的应用软件启动的时候，客户端会利用重新提取信息进行验证的过程，以及反馈结果和用户判断相结合的方式来更新服务器端的SHA1数据库。为了保证客户端和服务器端的交流快捷准确，本遏止流氓软件的系统采用了Socket传输的相关技术。Socket套接字在计算机实际编程的应用过程中是起到一个通信端口的作用，一个计算机客户端要想和其它计算机通信，必须依靠Socket的编程来实现数据的传输，Socket技术为计算机编程人员提供了很多接口函数，这样对程序员调用来说既方便又准确，而且每个电脑上都要具有Socket的接口。当然如果应用软件里面如果想要实现功能中具有信息传输的功能（主要在计算机网络上传输），也必须得通过编写Socket接口函数来完成，当然上面提到的API函数调用后的反馈信息也是由Socket实现的，实现过程通常是这样的当计算机的一段要发送数据到另一端是时首先自己要创建一个Socket套接字，紧接着是使用该套接字的发送的方法（send方法）对某个预先设定好的IP端口发送数据，作为接收的另一端计算机也要先创建Socket套接字，并且将该套接字绑定一个特定的IP端口上，如果接收端的电脑有其他端的发送到这个端口都会用接收函数（receive函数）对信息进行接收，遏止流氓软件运行的系统原理图如图2所示。图2遏止流氓软件运行的系统原理图代码如下所示：Try;#监控结果value是json格式的字符串，转为字典APIs=json.loads(value,strict-False)#方法MTD返回的结果RET=’‘#调用了哪些类(CLS中含有NTD)CLS=’’*调用了类中的哪些方法MTD=#MTD中的参数ARGS=’’MTD=str(APIs["methad"])CLS=str(APIs[“class"])Print"CalledClass:"+CLSprint"calledMethod:"+MTDifAPIs,get('retuzn'):RET=str(APIs["return"])print"RetuznData:t+RETelse:print“NoReturnData”RET="NoReturnData"IfAPIS.get('args');ARGS=str(APIs["args"])print"PassedArgumenta"+ARGSelse:#print"NoAxnunentsFassed"ARGS="NoArcumentBPassed”*XSSSateD="</br>METHOD:”+escape(MTD)+"</br>ARGUMENTS:"+escape(ARGS)+“</br>RETURNDATA:"+escape(RET)#调用的方法D属于哪个类CLS，展示调API时，将对应的方法名、参数、结果，罗列到该方法属于的类下面ifre.findall("android,utll.Base64",CLS);API_BASE64,append(D)ifre.findall('liboore.iojadroid,app.sharedPreferencesImp1isdatorTmpl',CLS);API_FILEIO.append(D)5.4系统的运行过程在有一个应用的进程要开始执行的时候，抑制流氓软件的系统会向驱动层中加入一个回调函数，该回调函数的功能是捕捉到应用程序要执行的一些开始信息，并根据该消息对执行的完整路径和进程的一些有关的信息进行分析，并将所分析的消息传送给对流氓软件的消息处理模块，从而实现该回调功能的目的。该系统的消息处理模块拦截所获得的消息中的应用程序的名字，并计算其程序的SHA1值，并通过该密码模块对该应用程序的名字及其SHA1值进行加密，然后将该应用程序的名字及其SHA1值传送给该服务器端。该服务器端的数据库询问模块按照该客户发出的信息前往SHA1可信库中进行比对，该匹配的关键在于利用该程序的名字来寻找SHA1值；根据比对的结果，来反映客户机要执行的应用程式，以确定其为不法软体的可能性。当服务器端的消息显示匹配成功，即该应用程序并非恶意程序时，则该客户机将其释放，使该应用程序能够继续运行。当反馈不到匹配，或者该应用软件很大程度上是一个流氓软件的时候，则由客户端向驱动层发出命令，要求它持续监视该应用的动作，当它发现它在更改了注册中心的信息之后；然后向使用者显示有关的变更资讯，由使用者决定是否准许变更，若不同意，终止处理，还原登录资讯；在许可的情况下，客户机保持该过程的正常运转，向该服务器端传送该过程的SHA1值以及该应用程序的名字，该服务器将该应用程序名及其SHA1值放在该SHA1库里。5.5系统应用测试5.5.1系统运行的环境遏止流氓软件系统是在Windows操作系统的平台下进行研究开发的，运用的开发工具是VisualStudio2010，测试环境也是主要在WindowsXP系统下进行测试运行的。5.5.2系统功能测试现在，按照服务器端和客户端两大部分我们分别进行测试，测试结果如下：首先我们测试一下服务器端部分：服务器端先启动监听服务，服务器端启动后会以托盘方式存在服务器中。服务器端主要是负责查询任务的，客户端会将应用软件的SHA1信息和其名称经过DES加密后发到服务器端，服务器端接收到以后对信息进行解密，然后将此SHA1与信息库里面的SHA1信息进行比对，服务器端验证模块的运行界面如图3所示。图3服务器端验证模块的运行界面点击开始监听服务按钮后，系统就会进入等待状态同时开始监听是否有客户端发来连接消息，并且可以接收客户端发来的需要验证的信息。当点击关闭监听服务的时候，系统便终止服务器和客户端之间的连接，并且不再监听关于客户端发来的消息。当用户点击查看SHA1库时，用户会看到服务器端的SHA1数据库的信息并且可以管理数据库。当服务器端收到客户端发来的需要验证的信息时，在服务器端会弹出一个提示信息对话框，如图4服务器端提示信息的运行界面。它会在服务器端的计算机的右下角弹出来，内容如图所示，包含了应用软件的详细信息如应用软件的名称，应用软件的SHA1值。这个对话框只是起提示作用，所以会设置在服务器端停留8秒中，然后自动消失。图4服务器端提示信息的运行界面其次我们测试一下客户端部分：第一，客户端启动遏止流氓软件系统，客户端同样可以是托盘的形式存在客户端的计算机界面上，对流氓软件的行为（一般是应用软件进入注册表的行为）截获的功能都能在计算机后台运行。同时，如果用户想退出流氓软件的遏止系统，也可以通过托盘的图标实现。第二，客户端开启防御服务。用户只要点击开启防御模式按钮，该系统就会进入工作状态，只要有应用软件试图修改注册表信息，该系统便会截获这个行为，并且会解析该应用软件进程的相关信息，以及应用软件的SHA1值信息等，并且将截获的信息，提取出应用软件的名称和SHA1信息加密后发送给服务器端。第三，客户端遏止流氓软件系统的监听。如图5监听界面所示，通过启动防御和暂停防御两个按钮我们可以控制流氓软件遏止系统在客户端的运行，同时我们可以看到可疑软件（就是发送给服务器端进行验证的那些应用软件）和流氓软件的列表。关于流氓软件的列表的用处，我们会在经过服务器端验证反馈给客户端的警示信息那里做相关的介绍。流氓软件遏止系统的监听界面同时会以列表的形式呈现给用户，这样一方面可以使客户清晰的看清楚每一个应用程序的状态及相关信息，并且这个监视是实时更新的，用户还可以通过选择某一个应用程序进程，右键进行人为的终止操作。图5监听界面第四，弹出警示信息，当服务器端将客户端发来的信息进行验证并将结果反馈给客户端之后，如果验证此应用软件不在服务器端的可信库里面，那么客户端便会弹出这个警示信息。如图6警示信息界面所示，警示信息的内容包括两部分：一是提示信息：试图修改注册表的应用软件的存储路径，应用软件的进程信息；二是客户的处理信息：仅允许一次访问，拒绝，同意。仅允许一次访问是让应用软件这次运行，如果后期发现其是病毒木马（也就是杀毒软件对其进行了处理并且指明其是木马病毒），下次登录的时候仍要弹出警示信息框，这时候就应该指导用户点击拒绝，这时候就需要上面提到流氓软件的列表的帮助。也就是这个应用软件再次运行的时候，客户端的监听界面会将其与流氓软件列表进行比对（也就是遍历一下流氓软件列表，其实就是去客户端数据库中查询），如果发现其在列表里，便会在警示信息里面的“是否在可疑应用软件列表里”出现“是”的标记，这样有利于客户选择。如果点击同意按钮则应用软件的信息就会传给服务器，服务器会将应用软件的信息加入到可信SHA1库里。图6警示信息界面所示5.5.3系统性能测试作为一款应用软件我们不仅要测试它的功能的实现，同时我们对系统也要进行性能测试，关于性能测试我们主要从两方面进行了研究，一个是CPU的使用，另一个是内存的占有。如图7软件运行前各数据显示，我们可以看到在该系统运行前CPU使用是7%，内存是918M。图7软件运行前各数据显示在打开软件，让系统运行后，我们会看到如图8软件运行后各数据显示，我们可以看到在该系统运行后CPU使用是12%，内存是1048M。图8软件运行后各数据显示从运行前后的数据显示对比来看，该系统的运行基本上不会消耗很多内存，也就是说不会影响计算机的正常工作，给客户端的计算机带来负担。6流氓软件的预防措施6.1提高防范意识大多时候，是因为使用者不知道电脑中的病毒是如何扩散的，也不知道电脑是如何被传染的，进而导致其会感染给其他使用者。恶意程序有多种途径进行传播，可以通过网络，也可以通过物理媒介等方式进行。想要阻止病毒软件的传播，就必须从增强安全防护意识开始，深刻认识到恶意程序的危害，要时刻保持对潜在的安全隐患的警觉，比如：平时在网上不能随意地浏览某些网站，在使用未知的文档时，要用杀毒软件将其清除干净，同时也要避免随意查看电子邮件中所携带的附加信息，尤其要对移动存储装置的安全保持高度关注。上述方法能有效地防止恶意程序及病毒对计算机的影响。6.2使用正版软件在下载软件时，一定要分清哪些是官方正版，哪些可能是带有“流氓软件”的网站。QQ是我们最常见的聊天工具，如果你在网络上输入QQ，那么就会出现很多的选择，我们需要特别关注的是“官方”这两个字，这个网站的首页很简单，很容易就能找到我们的应用，但是如果有绑定的话，那就是各种广告了。在下载软件的时候，只要我们有一对敏锐的眼睛，认真地看一看那些真正的流氓程序，就可以很容易的分辨出其中的几种，防止我们被病毒软件感染。6.3预防非法软件PowerTool是一款自主研发的绿色软件，无需进行安装，只需在目录中选取相应的系统运行（32位选取PowerTool32位，64位系统选取64位系统）即可。当你打开这个软件之后，用户能够自行检查系统有没有安全性的危险，或者有没有恶意的安装到你的第三方的软件。有了PowerTool，Windows的系统基本呈现了给了每个用户。通过该模型，系统进行的每一步操作都会被该模型进行观察和了解，并对其进行直接干涉。新版的PowerTool也加入了一个可以判断硬盘容量和电量消耗速度的硬件探测功能。能判断电脑的硬件是不是二手制造品。供电工具包括了CPU，硬盘以及其它部件的温度监测。如果您将其置于WinPE中，您同样能够清晰地找到启动区域中是否有病毒，并且对您的系统进行了优化与管理。如此多的功能和直观的系统管理程序，是不是很便利？如果需要的话，在你的电脑上安装一台，这样你的电脑就不会受到任何的威胁了。6.4利用数字签名技术预防如今的许多“流氓软件”都不会单独出现，而是会采取绑定的方式，只要有一个“流氓软件”成功对使用者电脑进行感染，就会有更多的“流氓软件”被强制安装。采用数字签名，可以完全阻断以上“流氓软件”的手段。针对某个恶意程序，您可以在该程序的右键选单中选择“属性”，然后选择“数字签名”界面上的“详细信息”，再选择“查看证书”，然后在“详细信息”栏中选择“拷贝至档案”，通过该程序，即可将该程序的电子签字资料输出至所需的文档。在“gpedit.msc”中，单击“电脑配置”-“Windows设置”-“安全设置”-“软件限制策略”，然后在右边的“其他策略”项目中，单击“Createauthentrule”，然后单击“Createauthentrule”，然后在弹出框中单击“查看”按钮，选中上面提到的“凭证”。单击“确认”键，选中“安全级别”中的“不允许”，然后单击“OK”键来保存该选项。然后，如果使用此认证的程序（特别是由同一家公司制作的），则会被此政策所截获，使其不能进行安装。在建立了许多这种约束机制之后，你可以使用这个插件，在它的主屏幕上单击“输出限制策略”，然后把它输出到一个单独的“date.Dat”的文件中。在另一台电脑上执行此功能，然后单击“导出软件限制策略”，即可完成操作。然而，这个绿色软件的运行路径之下，一定要有一个“date.Dat”。通过这种方式，预先设定好的策略可以迅速地在其它笔记本上进行部署，使“流氓软件”不能再对其它计算机造成伤害。6.5利用安全工具的使用技术预防Win10上安装了一个强大的防御软件——WindowsDefender，可以抵御各种恶意程序。打开“运行中心”的“操作中心”菜单，选择“安全”栏目下的“检视防间谍程序”选项，在“运行中心”的视窗内打开Windows定义。开启“控制面板”，并在里面引导“WindowsDefender”。在“主页”中，您可以看见当前的安全防护系统已被打开，在“更新”面板中会出现病毒数据库的相关资料，如最近更新的时间和病毒定义的版本等等。要获取最新的病毒库，请单击“更新”键。在“主页”中，有快速，完整，定制等功能，单击“立刻搜索”键，即可根据所选方法对整个系统进行搜索，找到并清理恶意程序。当然，有了这个“病毒清除工具”，我们还可以与黑客们展开一场战斗。在它的主接口中，单击“计算机安全概述”，在“恶意程序清除”部分中选择“立即扫描”，即可查找隐藏的各类恶意程序，单击工具栏中的“体系修补工具”，即可看到已修补的内容，再单击“一次修补全部”的连接，即可消除该病毒的危害。6.6IE使用中的技术预防目前，网络上出现了大量的“流氓软件”，比如修改网页页面，安装恶意插件等。在IE浏览器中点击“工具”→“管理插件”，然后选择左边的“工具条与扩充”选项，然后在右边将其全部展示出来。选取一个插件，您可以在“发行者”栏中查看它的开发者名字，并且它的说明会出现在视窗的下方。单击“详细信息”可以看到一个弹出来的页面，比如名字，发行者，文件和存储的地址等等。在此基础上，我们可以轻松地识别出身份不明的嫌疑人，并找到与此相关的文档。然后，你可以通过登陆来浏览网站，然后把这些疑似的文档进行扫描，这样就能很轻松地分辨出这款病毒是不是恶意的。如果发现它是一个非法的程序，你可以选择它在扩展程序的管理页面，然后单击“禁用”键使它不能正常工作。输入相关资料夹，移除相关档案。如果你不能用常规的方式清理它，它就会被插入到一个IE程序或一个合法的过程。为了达到这一目的，可以利用诸如PowerTool之类的软件来查找相应过程中的相关模块的相关信息，从而发现恶意文档的藏身之处；然后强行解除和移除它。同时，还可以通过IE浏览器对非法文档进行过滤，有效地阻断了恶意程序进入网络的途径。要在开启的视窗中启动此特性，请单击“SmartScreen删选器”→“允许SmartScreen删除”项目。在这个过程中，智能Screen删除程序可以在当前装载的时候探测到它。就算它能被发现，智能Screen删除程序也会在使用者执行这个档案的时候，把它的资料传送给微软的云计算服务器，然后再来测试它的安全性。如果它没有遵守微软制定的安全条例，那么这个档案将会被阻止，并且会出现一个警告，说“您的计算机已经受到了Windows的保护”。若使用者确认档案已被确认，则可于系统视窗内选取“更多信息”