奇虎360安全卫士首度公开追杀My123、CNNIC技术秘诀

恶意软件与反恶意软件阵营的斗争再度升级，日前，CNNIC起诉奇虎公司360安全卫士将其“CNNIC中文上网”列为恶意软件，而奇虎也反诉CNNIC侵犯奇虎名誉权，两者的“口水战”愈演愈烈。
　　此前，CNNIC指责“360safe与恶意软件my123有染”，主要质疑点是恶意软件my123采用众多高超技术，而360安全卫士在几个小时内就迅速攻克了my123这个技术高强的恶意软件，响应之快连瑞星、江民等专业杀毒厂商都望尘莫及。
　　针对CNNIC的质疑，奇虎首度对外公开追杀my123技术秘诀。

 “驱动级”恶意软件现身
  恶意软件的技术五花八门，且“与时俱进”，不停地与反恶意软件玩着猫捉老鼠的游戏。奇虎360安全卫士中心表示，目前最难对付的是就是采用“驱动技术”的恶意软件，“包括my123、7939.com、CNNIC等恶意软件都采用了类似技术。”
　　MY123插件采用了一种名为“system Bus Extend”驱动技术，这种驱动技术优先级很高，连安全模式也会加载，加载成功之后，将生成三个线程附加到system系统核心进程上，获取最高权限。更为骇人听闻的是，即便用户删除了所有文件，my123插件仍然可以通过内存恢复。
　　目前比较顽固和狠毒的恶意软件普遍使用“内核级Hook技术”，可Hook住所有公开的或者未公开的内核函数，保护注册表，隐藏、监控或者重启进程，可以有效的保护文件不被查杀。
　　而新版的CNNIC中文上网就采用了名为“Fsd Inline Hook”的非公开技术，这种技术具有两大特征：首先，它的隐蔽性非常高，非专业人士很难发现它的存在；其次，它的稳定性差、危险性高。如果用户安装了采用该技术的恶意软件，系统稍有变化可能就导致不兼容，使程序无法运行甚至直接导致系统蓝屏、崩溃。
　　360安全中心专家表示，“Fsd Inline Hook”一个非常危险的技术，目前为止，尚无一款商业软件使用这种技术，却广泛被病毒、木马程序使用。恶意软件使用这种技术的主要目的就是达到让用户无法卸载，长期驻留在用户电脑的目的。
　　在360安全卫士论坛中，很多安装了“CNNIC中文上网”的用户投诉，电脑经常死机、蓝屏、反复重启，在试图卸载时，CNNIC要求你输入复杂的“验证码”，但当你照实输入后，也无法卸载，或者干脆让你蓝屏。
　　采用驱动技术的恶意软件，就好比是街头小混混变成了身穿防弹服，手持冲锋枪的江洋大盗，仗着自己武器好，公然袭警，如果不出动飞虎队等特种部队，警察可能会遭遇全军覆没的境地。
　　
“破冰”技术追杀my123、CNNIC
　　奇虎360安全中心对网友提交的大量恶意软件样本进行分析，并进行大量的试验后，最终找到了一种解决办法，并将其命名为“破冰（Kill Defence）”技术。
　　恶意软件采用各种Hook技术保护自己的文件，过滤或者拦截其他文件的操作，并在关机时自动进行注册以保证恢复。奇虎360安全卫士“破冰（Kill Defence）”技术能将恶意软件的这些操作全部撤销，让系统变得很干净，再去删除这些恶意软件的残留文件。就好比是，飞虎队把江洋大盗的枪支给缴械了，这样就可以手到擒来了。此技术目前可以有效的对付采用驱动保护的恶意软件。目前，奇虎公司推出的“彩信通专杀工具”、“CNNIC中文上网专杀工具”均采用了 “破冰（Kill Defence）”技术。
    “破冰（Kill Defence）”技术最大的改进在于，以前的一些查杀技术是在恶意软件释放驱动之前，占住驱动的位置，但是如果恶意软件改变释放的驱动或者将位置提前，这种技术就很难奏效了，这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因。而“破冰（Kill Defence）”技术，能够直接删除掉恶意软件的驱动，对用户电脑进行保护。
　　安全专家表示，多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀，但一旦涉及到驱动层面，“事情变得非常麻烦”。“CNNIC中文上网”是将这种技术使用到极致的一款软件，而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件，这就是引发CNNIC和奇虎口水战的根本原因。