流氓软件的预防和清理

主讲：奇虎公司个人软件事业部经理 傅盛

　　从04年到07年，通过瑞星、金山和其他的一些反病毒厂商和安全厂商的数据，我们会发现病毒的爆发量呈大幅度的增长，04年上半年的时候只有一万多个病毒，后来上涨了十多倍，根据金山上半年公布的互联网安全报告显示，恶意软件和木马已经大大超越了传统病毒，成为用户面对上网的最大威胁，所有的病毒样本当中大概有75%，四分之三左右是木马级恶意软件，我们现在互联网整个面临恶意软件和木马的安全威胁是最大的。包括江民推出的报告也告诉我们，在用户感染数量最多的前十名病毒中，广告灰色软件就占了很多，这还不包括木马本身。

　　恶意软件为何如此猖獗？

　　这是有它深层次的原因，因为第一大驱动力就是现在的恶意软件已经有了商业利益的驱使。每一个去开发恶意软件，推广恶意软件的组织或个人，能在恶意软件整个环节当中获利，而且能够获得相当大的利润。马克思曾经说过，如果有100%的利润那么所有人就可以铤而走险，所以就使得渠道变得多种多样，浏览网页都可以装上恶意软件，防不胜防。恶意软件和病毒有所区别，传统杀毒软件，很难进行清除的，包括一些利益的存在，不去查杀这些恶意软件。根据调查大概有99%的用户经历过恶意软件的侵袭，只有57%的成功清除过，剩下的43%的用户继续在遭受恶意软件的危害，却无能为力。

　　那么我们看看，整个互联网环境的发展，从整个安全形式来说，恶意软件和木马已经取代了我们传统认为的传播和感染型的病毒，成为互联网安全的第一大隐患。而广大网友又受到恶意软件的侵袭，我们从恶意软件的定义和分类来看看，到底什么叫做恶意软件?恶意软件其实我们对它的是处在合法的商业软件和电脑病毒灰色地带的，它不属于真正的病毒，或者说传统意义上的病毒。恶意软件不具备传统病毒的自我复制、自我传播，破坏电脑系统等基本特征，而传统杀毒软件判断病毒的一个最大的特点就是说它是不是会自我复制，自我传播，在恶意软件这里面基本上不存在这个倾向。

　　但是恶意软件给用户带来的干扰也非常大，比如说疯狂弹出广告，并且截取用户的帐号信息，导致系统不稳定，还有包括通过一款恶意软件去下载其他的恶意软件等等，使得用户的电脑处在一个疯狂下载，疯狂弹广告的地步，电脑根本就无法使用。

　　恶意软件的发展经历

　　恶意软件有这么几个发展阶段，第一个阶段就是参加推广的阶段。恶意软件刚刚出现的时候，有人发现了这种方法，在最初捆绑的正常安装程序当中捆绑一个插件，这个插件其实就是一种恶意软件。用户往往在不知情的时候就会装上这个插件，或者在网页当中加入这个插件下载。最常见的就是访问一个网页突然蹦出一个框框，如果用户点了“是”的话就被安装。恶意软件的初期，除了推广方式上有一定的问题，或者干扰比较大，但是在技术原理上没有采用太多的损害用户利益的事情。有些软件甚至还有一定的功能性，比如说输入一个中文网址就可以到达。插件的推广成本很低，收益很高，往往一个公司在短期之内就能把几百万，甚至上千万的用户给覆盖到，这个时候他通过几百万、上千万的用户又能够获得很大的利益回报，法律又没有在这方面有所监管，所以恶意软件进入第二阶段，就出现了竞争，很多大的厂商都加入这个推广行列，每一家互联网公司几乎都有一个自己的插件产品，都是用捆绑的方式安装到用户的机器当中。

　　但是用户的浏览器也好，地址栏也好，都是那么一个地方，后来各家开始使用一些保护技术，保护自己的插件不会被其他家的插件删除，保证我的运行，由于各家不断的都在投入这个攻击和保护的这种代码的投入，就使得自己的这些软件越来越难以被删除。这个阶段表现的特性，软件种类也不是特别多，主要集中在几个大的厂商这里，比如说雅虎、百度等等一些大公司上，每家都有足够的推广实力。

　　第三个阶段，就是360安全卫士去年从7月7月份推出以后，包括民间反流氓软件联盟，包括互联网的恶意软件公约等一系列的社会的事件出来以后，一些大的恶意软件被逐一的消灭，有的大的厂商就退出了恶意软件推广的行列，或者有的厂商没有退出，但是占用量已经极具下降，也不敢大规模推广。现在一些小规模的流氓软件开始流行了，因为他们名气不大，投入的推广力量不是很大，那么他在自己的一小块区域内找到了自己的藏身之地，为了对抗越来越多的反流氓软件的工具，流氓软件开始两极分化，一个是技术实力比较强的厂商加强自己的内核保护，技术不够的小流氓厂商，开始流氓软件木马化，使得流氓软件变成一个一个木马，通过各种传播渠道不断的传播，破坏安全软件，使得自己开后门窃取用户信息等多种方法，实现自己利益最大化。

　　恶意软件的表现形式和分类

　　恶意有几种表现形式，第一个是强制安装，当你去安装一个正常软件时候，恶意软件通过正常软件偷偷的装下来，没有可选择的提示，用户在装A软件的时候，一不小心就可能装了B、C这样的软件;第二，就是无法彻底删除，而且你通过手工方式，或者通过他提供的卸载方式以后仍然在自动运行，注册表的东西仍然存在，恶意监视浏览器，会劫持用户的浏览器，打开浏览器以后就到达某一个网站，然后干扰其他软件运行，这个时候不通过任何用户的确认去删除其他的软件，保证自己恶意软件能够在这个机器长驻久留，而且由于这样的恶意删除其他软件，一般都会加载一些驱动，或者是其他的一些保护手段，会使得系统不稳定。

　　还有就是弹出广告，定时的弹出广告窗口，当用户访问其他网站就会弹出一些广告，通过在用户的机器内打开一个后门，去窃取用户的隐私，甚至盗取用户的帐号、密码、信息，比如说用户的QQ号这样的一些问题。然后破坏安全软件运行，隐藏自己，它破坏注入360安全卫士或者是其他软件的运行，然后使用户很难发现它，并实现自我隐藏。

　　恶意软件分类，一个是广告软件，就是装在用户机器里面不断的弹出广告;还有就是间谍软件，就是说在电脑和后门收集用户信息，它主要是去收集一些关于你的浏览习惯，或者是个人隐私数据;第三个是浏览器劫持的软件，这个软件安装以后，就使得浏览器里面多一个工具条等等这样的一些行为。新闻记录软件，也是和间谍软件有类似的行为，就是记录用户的操作行为，记录用户网络浏览习惯。最恶意的就是留有木马后门，通过这个木马可以偷取用户的任何信息。

　　感染恶意软件的途径

　　恶意软件通过利益的驱使，已经覆盖了用户可能接触到的各种上网途径。第一，安装一些国外知名软件的汉化版的时候，可能这里面就有恶意软件。第二，安装免费软件，很多免费软件，当然作者也是为了能够达到自己的收入，在不得已的情况下捆绑了一些恶意软件，来实现自己的收支平衡。第三，安装盗版游戏，现在在中关村也好，在南方的电子城也好，很多盗版游戏光盘里面其实也捆绑了恶意软件，当你运行一个游戏，或者安装一个游戏的时候，会给你的机器装一个恶意软件。因为恶意软件是按安装次数付费的，所以游戏厂商也会抓住一切机会给用户安装。连上互联网，有可能被远程的黑客，或者是专门去抓叫做偷窃QQ号的这种人给攻击，并且安装上，如果你的系统再有漏洞，就有可能安装上恶意软件。

　　浏览网页，从正常的理论上来说，浏览网页是不会被安装任何程序的，因为有权限控制的，但是现在有很多漏洞，尤其是系统漏洞和IE漏洞，加一行普通代码，或者最简单的代码，就使得你机器在浏览网页的时候被安装一个恶意软件。再就是兼容机安装操作初始系统的时候，这些盘里面可能也被安装上恶意软件，所以恶意软件现在是无孔不入。

　　恶意软件使用的技术

　　恶意软件使用的技术，第一个叫做Rootkit技术，这也是恶意软件出现之后被广泛采用的技术，对自己的文件进行强有力的保护。

　　第二是IE插件，通过BHO、UrlSearchHook进行劫持浏览器，BHO是浏览器辅助对象，也就是说在浏览器启动的时候会调用这个BHO，帮助浏览器完成一些额外的工作，本来这是一个好意，但是已经被恶意软件给泛滥的应用，现在很多人启动一个浏览器的时候会被加载相当多的BHO，而这些BHO大量都被恶意软件控制了。在地址栏输出关键词的时候会将你搜索结果进行一个转向，去劫持用户的地址栏搜索和相关的搜索。

　　第三个是修改系统启动项，去在系统启动项里加入自己的一个启动，用户每次开机的时候都会使得恶意软件启动起来。

　　第四，修改文件关联，当双击TXT文件的时候，恶意软件去修改这个文件关联以后，你可能双击任何一个TXT文件以后都可能把恶意软件运行起来。

　　第五个是修改系统服务，系统在Windows XP，都有一个系统服务。比如说我们的任务计划，恶意软件也可能把自己加到系统服务项当中，一直在运行。还有计划任务，计划任务是Windows提供一套自动运行的机制，可以定义某一个工作几点开始，或者是周几开始。恶意软件会把自己加到这里面来。

　　再下面一个叫做Winsock LSP(Layered Service Provider)LSP，它是一个底层的互联网接入的应用服务，大家可以把它理解成为一个小的防火墙，有的恶意软件会把Windows自代的LSP，使你这个浏览的网站或者说完全都变成他自己的操纵结果。还有一个就是直接替换掉系统，或者是应用程序的程序文件，比如说把你的显示版替换成文件。恶意软件除了使用这些技术去劫持系统之外，还会用很多技术进行自我保护，为了躲避一些安全软件的查杀，比如说一个软件，发现另一个进程被结束以后，会把另外一个进程再给调用起来。还有APIHook防止查杀，它将系统的API直接进行修改，你去调用系统任何一个删除操作的时候都会要经过这个监控，它发现你删除的时候就给你阻止掉，使得你没有办法通过系统的API来删除它。

　　第三个是驱动保护防止查杀，加载一个内核的驱动，使得自己难以被查杀，还有注册表名和文件名都不一样，装的时候文件名什么都不一样，使你很难摸准到底哪一个是它。还有就是文件变型，每次生成文件的大小可能都会改变，来躲避，还有包括它的特征，还有一个办法就是上来就监测，有没有瑞星，有没有360安全卫士，有的话全部把它停止掉，并且对所有窗口里面含有360的窗体自动关闭，不会让它打开，使用户没有办法使用查杀软件。

　　对刚才讲的一些技术名词进行一些解释，驱动是系统底层负责每一个设备，包括硬设备，比如光驱、显卡的正常工作的一种机制，那么软设备就是文件级的驱动，一个叫文件系统驱动，文件系统驱动(File system driver(FSD)挂钩，在Windows自带的系统当中挂了一个钩子，能够修改系统当中的一切操作，而这个驱动被恶意软件挂钩以后，可以保证自己的东西不被删掉，或者去删掉别的东西。

　　再往下就是比较深一点了，Dispatch(Driver Dispatch Routine)挂钩，就是对驱动器的分派历程进行挂钩，还有一种就是对文件驱动的代码“Inline(内联)”修改，内联修改是一个相当危险的操作，这种操作非常容易导致系统的不稳定，所以一般使用这种技术的恶意软件应该说是比较丧心病狂，或者完全不顾用户的感受，因为用户机器系统的驱动非常复杂，只要一有问题的话就可能是蓝屏，整个数据就会丢失。

　　Rootkit(Administrator)也是经常听到的名词解释，它是提供给用户管理员权限使用的工具集，这个工具集一般可以加载到一个内核程序当中，对操作系统内核进行挂钩和保护，做到保护和引入入侵者的作用，它必须要深入到系统的最内核层，做一些修改和挂钩。流氓软件经常使用这种技术，导致自己的文件和注册表被删除。

　　SSDT: system service descriptor table(系统服务描述表)也是一个内核的技术，叫做系统服务描述表，这是一组系统从内核输出给用户程序的函数表，一般的Rootkit会挂钩到这个表里面的一些函数，它也在系统的最内核层，上面几个都是大同小异，通过挂钩到系统不同的内核层来保证他对自己内核层的修改和监控，使得任何一个软件自定义的操作不被执行，达到自己的保护效果。后面我们会对恶意软件进行一个详细的技术分解，因为我们不想有一些法律上的问题，我们也被这家恶意厂商给告过，这是一个中文上网，就是给用户所谓中文上网功能的一个地址栏插件，主要是通过BHO劫持IE地址栏，通过一个或多个驱动，比如说cdnprot.sys，然后用Rootkit的技术，在系统内核设置了非常多的钩，对自己的文件进行保护，使得自己非常难以被删除。

　　第二个表现就是装上流氓恶意软件用户的机器就非常容易蓝屏，这就是因为它对系统内核进行了多层的修改，还有一个是ANI，这是通过鼠标漏洞进行传播的。由于这次鼠标漏洞波及面非常广，而且任何一个用户不仅仅是用IE浏览器，用Firefox，哪怕你不用浏览器，在QQ上人家传一个图片给你都容易中招儿，通过漏洞嵌入到用户的机器里面以后会破坏主流的杀毒软件，所以为什么有的用户打开会有七八个恶意软件。后来当这个事情开始平息以后，它还通过各种漏洞进行传播。这是一个传播技术的典型。

　　流氓软件判断及正确清理流程

　　判断流程分以下几个部分，第一，对于大面积流行和广泛出现的流氓软件，使用最新版的360安全卫士版就可以清除掉;第二，如果通过360安全卫士，就是说通过恶意软件和木马查杀功能没有发现的话，可以使用360安全卫士的生成一份比较详细的诊断报告，通过它来判断是不是有恶意软件，或者是流氓软件;第三，是通过这份诊断报告可以找到系统中的可疑项，然后把可疑项进行确定以后，我们通过360安全卫士的其他工具去把这些可疑项查杀掉，就可以通过叫做手工清除的方式。

　　360安全卫士诊断报告的使用，也就是说在我们360安全卫士里面有一个非常强大的诊断报告功能，如果没有发现，则使用360安全卫士生成诊断报告;使用诊断报告找出系统中的可疑项;以及使用360安全卫士的系统诊断、文件粉碎以及其它工具查杀可疑项。另外就是到官方的论坛进行求助，会有360安全卫士的专家及时的给与解答。

　　图

　　在360安全卫士的工作流程中，用户的需求和恶意软件举报是分成两块的，用户每天进行恶意软件举报以后，我们会很快的进行处理，直接进行特征库的更新，并且保证小组直接进行品质验证，进行开发，我们现在木马库已经达到了每天一次发布的时间频度，恶意软件库由于恶意软件的出现没有木马那么频繁，我们是每周两次。当小组发现一个新的恶意软件超出了引擎和专杀处理能力的时候，会让技术开发小组进行恶意软件的专杀，也是通过开发小组开发出新的功能，不断提供安全周边的功能提供给用户使用。最后就是安全卫士的新版本。安全卫士使用很多技术进行恶意软件的查杀，就是查和杀的两个过程。有些恶意软件就是专门固定了一个文件目录，一般其他软件不会用，这直接就可以把它判定成为恶意软件的一种。

　　还可以有启动项扫描，还有变名文件，360会启动MD5的特征扫描，那么无论它的名称怎么变我们都可以查到。还有扩展模块，针对一些各方面都变，完全为了躲避传统引擎，这时候就需要专门有扩展模块。针对不同的恶意软件，开发出不同的扩展模块，就可以把查杀能力无限的延展。还有驱动免疫技术，比如说有些恶意软件会用一些驱动，我们现在能够绕开它这个驱动，并且使它的驱动不能生效，还有LSP修复，我刚才说的一个Windows底层的网络连接的这么一个服务层，当恶意软件把它侵袭以后，它可以去更改任何用户对外网络连接，而且还不好修复，因为有的工具修复LSP不好，会使得用户无法上网，我们采用了一种修复方式是非常安全的，既能够清楚恶意软件，又能够保证用户直接继续上网。还有漏洞修复，这是国内提供漏洞修复比较强的这么一个漏洞打补丁的工具，也是很多用户喜欢用的工具，我们能够在微软官方发布补丁的三个小时之内就发布我们自己的补丁。然后就是网络连接查看。

　　查杀恶意软件的方法

　　一、通用引擎

　　1. 大部分的恶意软件以正常软件的形式存在于用户机器上，有自己的安装目录，而且大部分的恶意软件为了让自己能够得到启动机会，还增加了自启动项、BHO等注册表项。在清除这些恶意软件的时候要清除全部文件及相关的注册表项，才能完全清除。

　　2. 360安全卫士的通用引擎基于文件路径和注册表，可以扫描文件路径、启动项、CLSID、LSP、IE加载项等等，完全覆盖恶意软件的各个部分。并使用反注册COM组件、删除服务、恢复LSP等各种方式对其进行安全的删除。

　　二、特征码扫描

　　如果恶意软件通过变化文件名来逃避查杀，360安全卫士可以使用特征码方式对其进行扫描。通过比对内存特征和文件特征可以对变名恶意软件进行查杀。

　　三、扩展查杀

　　使用通用引擎和特征码都无法进行查杀的恶意软件，360安全卫士还可以使用扩展查杀模块进行有针对性的清除工作。扩展查杀可以针对某个特定的恶意软件进行特殊编码，对于保护很强的rootkit类恶意软件(如my123等)具有非常好的查杀效果。

　　四、驱动查杀

　　某些顽固的恶意软件使用驱动对自己的文件、注册表进行了保护，在正常模式下无法对其进行删除。360安全卫士可以在需要时释放驱动进行打击。360安全卫士的驱动程序可以修复被恶意软件篡改的系统内核，并在多个关键点对其文件进行删除。

　　五、专杀工具

　　现在有不少的恶意软件针对360安全卫士进行破坏。

　　对于大规模发作的恶意软件，360安全卫士会以最快的速度对其进行分析并发布相应的专杀工具

　　六、辅助工具 ( 全面诊断 / 启动项管理 / 系统服务状态 / 进程状态 / 网络连接状态 / 文件粉碎机)

　　七、举报 / 求助 目前360安全卫士还不支持Vista，所以可能会出现一定的不兼容现象。

　　360安全卫士查杀实战

　　案例一：彻底查杀CNNIC中文上网

　　cnnic使用一个保护驱动，对系统内核进行多处挂钩，主要表现在：

　　1.文件系统过滤驱动、文件系统驱动Dispatch挂钩、文件系统驱动Inline挂钩，同时文件系统挂钩会阻止一些安全软件如360安全卫士的运行

　　2.进程结束保护，会保护自身进程不被结束

　　3.驱动自保护机制，驱动会注册关机消息，在关机时再检查自己驱动的启动及启动位置，强制自我恢复

　　4.SSDT 钩子，CNNIC驱动挂钩了多处系统服务调用表(SSDT)，保护自己的文件、注册表、进程等不受破坏

　　5.驱动反攻击技术:CNNIC当检测到有试图对自己驱动进行破坏的行为时，会释放出多个随机变名驱动，相互保护

　　清理方法:使用专杀活文件粉碎机或类似技术，穿透CNNIC的文件系统保护，删除其相关文件

　　重新启动后，其SSDT挂钩失效，此时删除其注册表及其它文件即可彻底清除

　　案例二：MY123的清除方法

　　MY123系列流氓软件通常由一个变名驱动和一个变名DLL文件组成，该类流氓软件有多达上百种变种，但原理基本一致，主要有以下自保护方式:

　　1.通过自己的BOOT0驱动，在操作系统加载时加载，将自己的文件独占打开,导致任何人都无法访问，即使杀毒软件也无法对其进行扫描和清除

　　2.通过一个进程监控例程来监控系统，当系统登陆时，将一个runonce项写入注册表,这样起到自己的DLL隐身启动的目的

　　3.对自己的驱动服务项，会使用NotifyChange，ssdt挂钩，暴力重写等方式，进行保护，防止被破

　　4.进程监控例程中还会自动对自己的文件进行检测，如果被删除，自动恢复

　　清除方法:通过文件粉碎机将其驱动文件及DLL文件粉碎，或使用复制句柄的方式复制出被独占的文件句柄然后关闭，并进行文件占坑，最后重启动，并将其他残余项目删除。

　　流氓软件查杀精彩问答

　　1、360安全卫士是怎样清理流氓软件的?

　　360现在有专杀工具，可以对这些，包括文件系统对三个地方进行的修改，比如说篡改了微软级的内核代码，可以把这个重写系统的内核中，包括挂钩和文件库的修复和摘除，这样使它的保护不再起作用。恶意软件会破坏专杀，但经过多次的更新，能够对它进行彻底的清除。它有一个类似特征库的东西，会进行查杀，专杀工具的驱动，会阻止360查杀，而360也能实时的进行对它监控，然后进行清除。

　　最早期我们是使用比较简单的方法，使用一个正常的文件手段，直接生成它的驱动，把它的文件打开拷贝出来，然后再进行清除。由于一些病毒的变种，后来对变种的病毒采用一些新的手段，比如说对它锁定，然后拷贝出来，依然可以访问和删除，将这个文件锁定住，不让它恢复自己的文件。

　　2、360安全卫士是否支持微软Vista 系统?

　　360安全卫士现在的版本除了支持监控保护这个功能，还有一个叫做实时保护的功能，暂时在Vista下还不能使用之外。在下一个推出的360的正式版就可以支持了，也是国内第一个对Vista系统的漏洞补丁有一个专门的功能和软件。实现在Vista系统下的恶意查杀和木马查杀是没有任何问题的。

　　3、360安全卫士对恶意软件的评定是怎样的?是否也存在一种误报?比如说迅雷发生了这样一个黑名单，以后像这种事件根据什么来确定它的进入和退出机制呢?

　　这个是分为两个问题，第一，对于系统绝对正常的文件进行误报，这种误报有可能。比如说系统一个正常的驱动或者本身系统文件，以前有杀毒软件误报的历史，导致用户有损失，我们也采取了很多的措施，其中一个就是签名验证的机制，对于木马特征的提取都有一个签名验证，如果他有微软的文件签名的话，那么我们就无论他怎样一个特征结构，我们都不会认为它是一个恶意软件，而微软的文件签名是没有办法伪造的，木马查杀不会出现以前对一个系统文件进行误报这种情况，对正常软件的误报，就是哪些是正常的系统文件，我们已经积累了非常多的系统文件了，对于很多正常软件很难会误报。

　　关于迅雷事件，首先是关于恶意软件的定义还有争议。在360的官方网站有一个“360百科”，可以进行投票，Web迅雷，它存在形式有些用户不太喜欢，网友就组织了投票，这种投票我们是完全尊重用户的意见，当然我们现在会加强一些后台的监控，如果有恶意的投票，或者有明显作弊行为的投票，我们必然会采取一定的措施。对于Web迅雷的事件我们进行了一些观察，但是我们任何一款软件都应该通过网民自己的决定，我们最多会给网民一些建议，比如说这个软件有没有这样的行为，比如说我们看这个恶评排行榜，基本上和大家心里这种认为是恶意软件，基本上是一个数量级的，那么我们发现网民投票的结果跟我们做的是一致的，就是说如果一款软件真的有很多用户的话，那么这些用户肯定会帮助这一款软件，另外，从我们建立这个平台初衷来说，我们会杜绝，我们现在有各种各样的投票，我们也会进行这样的验证，保证没有太多的无效票，或者是作弊票。

　　4、使用系统全面诊断时，有时有些进程并不能被识别出来，是不是有些进程具有危险性呢?如果有的话我们怎样来解决?

　　诊断会对所有的进程做一个排除，如果是微软的正常软件会标识为安全的，如果有未知项是会被标识出来，不会有遗漏。

　　5、360安全卫士经常把广告插件认为是恶意软件，但是把这些插件清除掉之后会有一些共享软件，就没法运行了，针对这种情况有一个什么样好的解决方法?

　　正常软件就是有一些好像工具条，它是使用一个不同组件之间，它是多款软件共享一个软件的，360会对这个共享组件单独标识出来。

　　从实际情况来说这种情况是非常少的，我们在每一款清除的时候，并不是简单把它加强一个模块，我们对清除前和清除后进行一个详细的测试，比如说这个插件，这个软件必须去共享恶意软件当中的一个组件，那的确是没有办法，那对于用户来说就要面临这样的选择。但是从现实情况来说，我们没有听到太多这样的反馈，如果就是有一两款，或者只要有用户反馈，我们会马上进行验证。但事实上是非常少的，就是我清除这个，造成正常的运行，因为360不光是有查杀，还有修复的作用。所以如果你遇到这样的问题，那么可以到官方求助解决。

　　6、把病毒杀掉了，但是系统启动不了了，360安全卫士在清除流氓软件的时候，在安全性上是否有绝对的保证?

　　应该说我们的系统，如果因为360安全卫士导致系统蓝屏，是坚决不允许的。我们在这个问题上做过测试，因为360安全卫士查杀恶意软件，事实上是由于恶意软件侵害了系统内核，导致系统不稳定，即便我们查杀导致这个问题爆发和凸显出来也是不允许的，我们一定要验证它能够对系统没有伤害的情况下才会发布，不会贸然使得用户的机器出现问题，这是我们非常重视的，而且从我们一路走来的情况，如果发现用户使用我们查杀出现过蓝屏的问题，如果是北京的用户我们都会直接上门帮助修复这个问题，可以帮助解决，如果是外地用户，他的电脑是查杀的情况下出现了蓝屏，我们可以通过远程协助的方法，我们也可以帮他手把手的解决掉这个问题，对于查杀以后出现系统出问题的时候，我们是排在第一个优先级的，通过不断的这种跟踪，我们现在在查杀软件上应该说是有保证的。

　　7、现在流氓软件似乎开始减少，慢慢销声匿迹了呢?还是转行了?

　　其实这个问题，我们刚才说的流氓软件的三个阶段，06年是流氓软件第二个阶段，叫做恶性竞争，流氓软件这个行业也没有规则，导致用户民不聊生，最起码用电脑的安全性都没有保证，稳定性都没有保证，这个时候就出现了很多咱们反流氓软件，经过一轮的，以360为首，既是查杀工具的这种东西，又有社会环境、舆论环境的东西，当时名声特别小的流氓软件，有些退缩了，还有部分坚守的。但是现在有360了，使得那些坚守的这些它的覆盖量远不如以前了。

　　大的恶意软件要么销声匿迹，要么没有以前那么猖獗了，但是由于利润，木马产业链和恶意软件产业链已经形成了，改变了它以前出现了一些方法，以前是一款软件覆盖了天下，现在它可以化整为零。最近我们发现了一款恶意软件在不断的变化。另外，就是它小规模，但是它的总量很大，我们刚才说的叫流氓软件木马化，它每一个流氓软件不像以前动不动所有的人都会装，可能就是几十万人、几百万人装一款流氓软件，它开始用一些底层技术，开始用木马技术，有的流氓软件干脆做木马了，因为木马既可以偷窃东西，也可以弹广告，以前的流氓软件多少讲究一点点功能，现在都不讲究了，就是保护自己，偷窃东西，如果能够弹广告就能够带来收入和流量，包括现在网上的炒股，包括网上这种虚拟财产越来越值钱的情况下，流氓软件开始向这个方向发展，从以前纯粹弹广告，每一个都可以产生不菲的价值。

　　8、木马样本的主要来源有几种途径?

　　它取决于两个因素，一个是引擎本身，第二是样本的收集速度和收集的全面性，可能现在越来越倚重于后一个方面。木马本身是一种“架桥”变形，这样的话以前的杀毒软件在收集这些特征的时候需要很多的特征，然后进行提取。样本上传，第一，360安全卫士已经是覆盖面最大的个人免费安全工具，占有一个非常庞大的用户群，三千万到四千万的用户不断的使用360安全卫士，这样使得上传的样本非常的广泛。这是一个渠道。

　　第二个渠道就是论坛收集和提交，第三，360安全卫士建立了自己的一个叫“密灌”系统，这个系统使得样本收集的速度都达到了一个比较不错的，起码相对一些，有一些专门的木马查杀软件，可能是一些比较小的规模，在运行的质量上是有充分的保障，而且在样本的数量上是有保障的。除了有传统的木马查杀之外，还有一个新的保护功能，近期也将会推出，比如说就是360密码保险箱，即便有一些木马暂时没有快速查杀的情况下，他进来之后也偷不到你的东西。

　　9、为什么有的流氓软件360查不出来?在同一个系统中能不能安装多个反流氓软件?

　　关于第一个问题，因为流氓软件开始木马化，它就变成收集样本之类的，现在也有一些类似于反侦查，安全软件获取样本的，反映没有那么迅速，但是如果发现有的软件杀不掉的话，可以通过上传举报功能，我们可以很快进行一些分析，把这个分析到软件库。第二个问题，这个目前是没有问题的，在国内有比较优秀的反流氓软件工具，有金山的工具，通常是没有问题的，可以使用多款进行查杀。

　　10、360安全卫士坚持免费的路线，既然国内是做的非常好了，有没有想走向国外?

　　暂时还没有，因为虽然在国内我们取得了一定的成绩，但是事实上两个方面，第一个方面，其实用户面临的安全环境还是很恶劣的。除了恶意软件可以说是安全环境当中的一部分，以后的这种木马的猖獗，包括用户在网上金融的使用，财产的保护，其实是更重要的一部分，也可能直接导致一个用户有非常大损失的部分，我们希望能够把它深入下去。而且包括现在恶意软件层出不穷，有各种的利益驱使，在国内这一块我们只是抓住了一个比较好的机会，让很多用户享受到了一种好的服务，但是对于我们来说还是任重道远，国外这一块我们的确没有这样的精力和人力，如果我们有更多人员还会投到国内更深层次的一些安全的工作当中去。

　　11、为什么360安全卫士能够和卡巴斯基进行合作，国内的杀毒厂商也有很多，金山、瑞星、江民等等，为什么没有跟他们进行合作，而选择卡巴斯基?

　　有些问题属于商业上的问题，在此不便多说。但是有一个问题必须是你情我愿的，单方面的愿意是不够的，所以这样的情况就能解释当时在360没有名气的情况下，其实我们也努力过，但是不太容易找到这种比较知名的这种厂商跟我们合作，那么我们选择了卡巴斯基，因为当时它在中国其实也有客观的因素，它本身没有太大的名气，但是它本身质量非常好，然后愿意为我们中国网友提供半年免费很实惠的条件，考虑非常多的条件以后我们就只好宣传卡巴斯基。

　　12、流氓软件似乎也越来越少了，未来360安全卫士的方向和定位是什么?

　　流氓软件只是改变了一些形式，流氓软件是我们长期坚持不断查杀的，以后也会主攻木马查杀功能，毕竟我们积累了14万的样本，现在叫做一个木马查杀引擎，也许我们会采用更强大的，或者是两个查杀引擎来进行更强大的查杀功能。所以下一阶段整个奇虎360会变成一个与其他杀毒软件相配合的一个安全工具集，我们会为用户提供除了恶意软件查杀之外，还有木马查杀，还有漏洞修复，帐号保密这样的功能，以及以后还会推出一些功能，这些功能暂时现在还不能透露具体时间。

　　13、手工清除流氓软件的方法?

　　比如说以某某中文上网为例，首先它会有一些注册表的保护，文件保护，可以使用专杀工具，首先在诊断报告里对恶意软件，用红色标示出来，这个文件粉碎之后，将所有的文件粉碎，然后重启，重启之后会有一些残留的项目，启动项，或者是驱动服务项，这些在诊断报告里面都可以看出来，就说明它的保护已经没有了，这样操作，把这个删除，这样启动就比较干净，没有恶意软件的侵害。

　　有一些流氓软件的删除还是需要重启的，主要因为几个方面，比如说它是用一些比较危险的技术，比如说某一款系统软件，会破坏系统进程链的东西，如果不及时对它进行关闭和操作，就采取一点比较温和的模式，先把它关机删除，重启之后这个软件就消失了。

　　14、使用360安全卫士检测到系统有十几个漏洞，这些漏洞是否一定要补上，这些漏洞的级别，我们该怎样对待?

　　系统漏洞是一定要补的。点击上面会有相应的描述。比如说是高危漏洞或者是普通的更新，高危漏洞要不补的话会遭受到网页木马的攻击。

　　我们把一台没有安装安全软件，并且没有打系统漏洞的叫做裸机，这种危险是非常大的。如果没有打补丁就会被感染，打了这个补丁也不一定不被感染。没有打的就更危险了。而且关键问题就是说你并不是只中病毒，它可以下载任何的东西，这个机器整体就变得非常不安全，而且微软发布的每个补丁我们都会进行人工的认证，认为它有效才会发布出去。补丁会极大的增加安全性。