小知识:操作系统是由内核和外壳两部分组成的,内核运行于Ring0级别,拥有最完全最底层的管理功能,位于Ring0层的是系统核心模块和各种驱动程序模块。几乎所有指令都传递给内核,由它来决定是否执行,一旦发现有可能对系统造成破坏的指令,内核便返回一个“非法越权”标志,发送这个指令的程序就有可能被终止运行。
运用了Rootkit技术,流氓网站就可以拥有跟内核一样的运行级别,就能进入内核空间,这样它就拥有了和内核一样的访问权限,能对内核指令进行修改。所以你用单一的修复工具修复浏览器主页时,该指令在进入系统内核时会被运用了Rootkit技术的流氓网站拦截并窜改,这样指令就失去了作用,修复工具就不起作用了。9348和kuku530就是使用这种技术的代表。
原因2:走捆绑路线
为什么有的流氓网站频繁窜改主页,清除过后不久又会出现,老是清除不干净呢?这是因为,流氓网站除了使用Rootkit技术保护自己外,还有一种霸占浏览器主页的方式,就是捆绑方式。当某个程序运行时就激活了它们,它们就窜改了主页。这种方式的缺点是容易被修复,优点是无法彻底修复。
捆绑流氓网站的程序大多是经常要用到的,比如各种****、破解补丁、游戏客户端等。举一个例子,你在某个软件下载站下载了一个游戏****,当你运行游戏****时,嵌入游戏****里面的流氓网站就会对浏览器主页进行判断,如果主页不是自己就进行窜改,如果是自己则跳过。
除了常用程序,流氓网站还会与其他东西捆绑,例如操作系统(114la、tomatolei)、优化软件(930930),更搞笑的是一些所谓的IE保护工具本身也会窜改主页。
天使禁区电脑知识网:http://www.135cc.com