腾讯电脑管家BootKit木马清除大师

分类：手机软件
大小：51M

版本：
发布：2022-12-10 12:26:29

手机扫码下载

应用截图

应用介绍

现在大家最怕的就是自己电脑里的BootKit木马。边肖直接带来了腾讯电脑管家的BootKit木马清除大师，不仅可以帮助您快速检测您电脑中的木马情况，还可以一键查杀病毒，保护您的电脑安全。

BootKit木马危害

“暗云”木马系列最早于2015年初被腾讯电脑管家抓获并查杀，至今已2年有余。随着技术的升级，木马也在不断更新迭代，在隐蔽性、兼容性、对抗安全软件的能力等方面较之前的版本有明显的提升特征。《暗云三》没有文件，没有注册表，取消了很多内核钩子和对象劫持，更加隐蔽；因为“暗云III”主要是通过挂钩磁盘驱动器的StartIO来隐藏和保护病毒MBR，而这种挂钩位于内核的底层，不同类型和品牌的硬盘需要不同的挂钩点。同时，木马添加了更多的判断代码，可以感染市面上大部分系统和硬盘；为了对抗安全厂商的“急救箱”工具，“暗云三号”还可以通过先注册名称的方式阻止急救箱的正常功能开启，其设备名称就是急救箱中将要用到的底层设备的名称。

腾讯电脑管家BootKit木马技术说明

第一，隐蔽性很高。被感染的MBR被Hook磁盘驱动器保护，防止被安全软件检测清除，并使用对象劫持技术避免安全人员人工检测。到目前为止，几乎所有的安全软件都无法检测并查杀木马。

二、暗云木马中云思想的运用：木马以轻量级的身体隐藏在磁盘的前30个扇区。这些驻留和系统代码不具备传统木马的功能。这些代码的作用只是将其他功能代码从执行服务器(云端)下载到内存中直接执行。这些功能模块是隐藏模块每次开机时从云端下载的。所以木马体积小，云可控性强。

第三，环3和环0的通信方式：微软正统的通信方式是环0代码创建一个驱动设备，环3代码通过打开环0创建的设备实现相互通信。木马常用的通信方式是挂接Ring0中指定的API函数，而暗云木马是通过注册回调来实现的。

第四，操作系统完全兼容：一个BootKit同时兼容x86和x64操作系统，兼容目前主流的xp、win7等操作系统版本，因此影响范围广。在盈利推广方面，木马也涵盖了目前主流的盈利推广渠道：3354推广小网站，推广手机应用，推广游戏，大网站加推广ID。

第五，有效的反软杀伤：由于木马主体运行在内核中，且启动时间早于所有安全软件，大多数安全软件无法拦截和检测木马的恶意行为。木马可以直接结束内核中的一些安全软件进程，同时可以将APC插入到任何安全软件进程中执行。插入的APC代码会关闭安全软件的文件监控设备句柄，导致安全软件的文件监控失败，大大降低被检测到的概率。