对抗恶意软件是一场猫捉老鼠的游戏。它在不断升级。他们采取行动,你反击,他们反击你,泡沫,冲洗,重复。

更重要的是:恶意软件几乎总是有优势的。我们的软件Malwareb必威平台APPytes Anti-Malware在与新的恶意软件感染的斗争中获得了高成功率的声誉:与其他安全供应商相比,我们经常可以成功地删除其他人只能检测到的恶意软件。在实践中,这意味着我们经常在事后安装来清除已经在系统中根深蒂固的恶意软件,等待,占据上风。

考虑到我们在反恶意软件战争中作为一个清理工具的选择,恶意软件迅速开始对我们采取对策也就不足为奇了。有简单的攻击和更复杂的攻击,从直接杀死我们的进程mbam.exe,到注入一个线程,从我们的扫描结果窗口动态删除恶意软件。我甚至在恶意软件二进制文件中看到过侮辱我们研究副总裁Bruce Harrison(又名nosirrah)和我们研究助理总监miieke Verburgh(又名miiekiemoes)的恶意软件:

C:UsersDougDesktop> strings svch0st.exe | grep " miiekiemoes "
miekiemoes糟透了

我们喜欢这种东西,它让我们知道我们要对付坏人了。

很明显,我们需要一种方法来确保Malwarebytes反恶意软件能够在严重感染的盒子上运行。必威平台APP这是一个艰巨的任务!现代的rootkit在非常低的层次上与Windows内核挂钩,破坏了操作系统应该提供的“眼睛和耳朵”功能,并在理论上给予恶意软件完全的控制。事实上,“某些Windows内核专家社区”(暗示)已经知道反恶意软件从一开始就注定会失败:他们说,一个编写良好的rootkit是打不开的,受感染的用户应该放弃并格式化硬盘驱动器。(让我们暂且不提这样一个事实,即目前已经有几个rootkit在重新格式化之后仍然存在!)

然而,大多数用户不喜欢听到没有办法保存他们的程序和数据,幸运的是,我们想出了许多创新技术来清理现实世界的rootkit和保存盒子。这很难,但并非不可能。在Malwarebytes中,我们从不回避解决困难的问题,我们认为我们可以做到。必威平台APP

我们首先检查了攻击我们的恶意软件。快速分析显示,许多所谓的“流氓反恶意软件”应用程序过滤进程创建,并只允许一个已知进程名称的白名单启动。例如,恶意软件允许的进程名为“iexplorer .exe”和“winlogon.exe”(已知的微软Windows进程),但不允许“mbam.exe”。因此,我们的支持团队开始指导受影响的用户将mbam.exe重命名为白名单中的进程名之一。然后它就会运行,清除恶意软件,一切正常。

这个技巧在很长一段时间内都非常有效。我们创建了一个小型的自动支持工具,将mbam.exe自动重命名为几个常见的白名单名称之一,我们古怪地命名为“Malwarebytes变色龙”(“现在你看到了,现在你没有!”)。必威平台APP

但恶意软件适应了,很快我们就看到了通过图像文件名过滤过程创建的感染。有些感染很简单,比如在二进制文件中搜索字符串“Malwarebytes”并杀死任何匹配进程。必威平台APP(恶意软件会如此公开地针对我们,你可能会觉得很惊讶,但在价值数十亿美元的恶意软件行业,坏人总是在关注我们——毕竟,我们对他们的底线构成了严重威胁。)这个问题的解决方案很简单:我们只是从二进制文件中删除了所有这些字符串(Jalwarebytes Anti-Jalware,有人知道吗?)

但我们想要一个解决方案,我们可以部署一个生产版本的Malwarebytes反恶意软件,这将不需要受影响的用户进入我们的支持论坛,并寻求帮助,让我们的软必威平台APP件运行。我们想要一个健壮的解决方案,一个可以保护我们的软件不受当前和未来恶意软件的攻击的解决方案,一个用户可以随时通过一键式方式让扫描仪运行的地方。

所以我们开始开发Malwarebytes变色龙必威平台APP,从一个重命名为mbam.exe的小工具,成为一个成熟的内核级自我保护系统。我们建立了我们自己的内核级过滤器来保护我们的文件,我们的进程,我们的注册表项和我们的驱动程序免受恶意软件的干扰,从Windows 2000起的每个操作系统版本。我们整合了原来的变色龙重命名功能,以阻止攻击,如图像文件执行选项劫持,或其他用户空间策略限制。当Malw必威平台APParebytes变色龙打败了我们扔给它的每一个野生恶意软件,我们发布了它与Malwarebytes反恶意软件1.60。

与此同时,忠实的读者,我们挑战你打败变色龙。我们知道这是可能的!我们的开发人员已经做到了,并且正在不断改进。(事实上,Malwarebytes反恶意软件的每个新版本中的大部分改进都是在底层进行的,而且您永远不会直接看到它们!必威平台APP这就是为什么保持最新的安全软件如此重要。)

如果你能找到一种方法阻止Malwarebytes反恶意软件运行必威平台APP,而Malwarebytes变龙是活跃的,在Malwarebytes论坛上的私人消息我(我是Swandog46在forums.malwarebytes.org),你将赢得在下一个Malwarebytes unpack中提到,也许是一个您自己的客座帖子!