|
需求:
我是做网管维护的,因为我所处的地区很多监管部门都在各自的管理软件中投放了很多的广告,导致客户机出现卡顿,死机,蓝屏,甚至是盗号的现象。通过长久以来我对这些软件的观察发现。这些个所谓的“管理软件”有以下几种触发方式:
1、在检测到游戏刚刚运行或者游戏退出时,弹出IE链接广告,或者是含有窗体的广告。
2、在检测到指定的进程创建后弹出广告,如QQ.EXE;YY.EXE等
3、有些是在使用IE浏览网页时所不定到哪个页面你点击任何的链接,都会弹出来一个跟你所点链接毫不相干的广告页面。
4、许多弹出的广告据我使用Process explorer查看,它们的父进程要么是svchost.exe[windows\system32下的],要不就是explorer.exe
5、这些管理软件会创建一些随机名称的目录,或者是随名名称的进程,25到32个字符据多,然后在这些目录里下载一些挖矿软件。
6、都会往IE里加载许多的DLL插件,什么BHO之类的增值插件非常的多。基本上IE浏览器都没法用。
7、暂时没摸清楚的稍后再补充上来---------------
介于我只是这一行业中的微小末位单元,无论如何呐喊始终都得不到相关部门的重视,并且近来有愈演愈烈的趋势了。
我通过对批处理和AU3的学习认识的加深,想到了可否通过以下的方式来缓解(解决不敢想)这类软件的卑劣行径。
开机后运行这个“未来的”程序后使用如下效果。
以下为循环监测
1、自动识别当前进程列表中的进程名、或者期所在的目录名是否同时含有"0-9" , "a-z" , "A-Z"的特征,并且目录名或者进程名的长度>20 , <35。如果有的话就终止这个进程,并阻止其再次运行
(注意,我此前是使用批处理实现的,,我所使用的方法是添加注册表里的映像劫持以及修改这个文件的权限,但是批处理效率低下,而且在添加了劫持后偶尔会出现某个进程的CPU占用率一直据高不下10-25%)
2、阻止指定的进程创建指定的进程(或者说发现它创建指定的进程后直接结束掉其新建的进程),如svchost.exe不允许创建iexplorer.exe这个进程,避免其被某些进程利用注入后由其弹出广告。
3、阻止一些已知的DLL或者类似的插件注册到IE浏览器。
4、额外的不紧要的需求,可否持续的检测系统当前的资源占用率,如CPU资源,GPU资源,内存资源。如果发现某一个进程每次都在系统资源空闲较多时就占用了很多的CPU或者GPU资源,但是内存占用又不多的情况下,就写入到日志中去。(这类挖矿程序的特征一般是进程的运行时间比较长,基本上是在系统启动后10分钟-30分钟左右就启动了)-------------------------------------------
我已经学习了AU3一段时间,对一些基础的脚本基本上都看的懂,我想要实现的效果我大概也有学习的方向,但是因为能力有限吧,学的一直很慢。但是问题依然排在那儿等着我们去解决,所以在此求助于各位论坛里的朋友,如果可以提供思路,或者说提供一些参考的代码。本人不胜感激。对有特别和大力帮助的朋友,本人愿意付酬谢。 |
|