360安全卫士查杀实战
案例一:彻底查杀CNNIC中文上网
cnnic使用一个保护驱动,对系统内核进行多处挂钩,主要表现在:
1.文件系统过滤驱动、文件系统驱动Dispatch挂钩、文件系统驱动Inline挂钩,同时文件系统挂钩会阻止一些安全软件如360安全卫士的运行
2.进程结束保护,会保护自身进程不被结束
3.驱动自保护机制,驱动会注册关机消息,在关机时再检查自己驱动的启动及启动位置,强制自我恢复
4.SSDT 钩子,CNNIC驱动挂钩了多处系统服务调用表(SSDT),保护自己的文件、注册表、进程等不受破坏
5.驱动反攻击技术:CNNIC当检测到有试图对自己驱动进行破坏的行为时,会释放出多个随机变名驱动,相互保护
清理方法:使用专杀活文件粉碎机或类似技术,穿透CNNIC的文件系统保护,删除其相关文件
重新启动后,其SSDT挂钩失效,此时删除其注册表及其它文件即可彻底清除
