山寨机中的战斗机！	程序优化工程师到底对IT界有没有贡献

流氓软件及反流氓软件的技术分析

楼主jacklzw88（不可爱咯）2006-09-20 00:37:15 在 VC/MFC / 非技术类提问

流氓软件的技术五花八门，任何一项功能都有可能成为流氓技术，就象武器，用好了可以伸张正义，用歪了却成为罪恶的帮凶。
首先我从win32下的一些流氓着数分析开始：
1。我想做为一个流氓软件，首先要做到的是实时运行，譬如在注册表的run下，在boot下增加它的启动。这应该是比较老的方法，以前 3721好象就是在run下，但是现在一般的人都知道了。
2。作为流氓软件，已经改变了以前一些木马的特性了，他没必要使自己一定要实时启动了，而是需要自己的时候再启动，譬如说打开一个浏览器窗口，这是一般流氓软件的方法，因为他需要连上网才能有利益可图，所以浏览器肯定是流氓软件必定监控的进程。
3。使用BHO插件,这种技术早先特别流行，这是微软提供的接口，本意是让IE浏览器可以扩充功能。每当一个ie浏览器启动的时候，都会调用BHO下必要的插件，流氓软件就是利用这一点。监控了浏览器所有事件与信息。
4。还有最笨的办法就是利用进程快照监控进程，判断有它自己所监控的进程启动，就使用atl得到浏览器指针，从而监控浏览器所有事件与信息。
5，还有一种方法就是使用spi，这是我在网上看到的。spi是分层协议，当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。从而监控用户信息，而且能实时启动。
6。hook方法，hook技术可以所应用太广泛了，特别是监控方面。所以流氓软件也不会错过。首先应用的是api函数hook，譬如windows核心编程里的apihook类，或者微软的detous都可以完成，两者方法其实相同就是修改IDT函数入口地址。api hook钩住createprocess 就可以监控进程，比进程快照性能更强，可以钩住spi下的函数可以完成spi下的所有功能。还有消息hook，鼠标消息，键盘消息，日子消息等等钩子，方法实在太多，都可以利用。
上面列举了一些流氓软件的使用方法，但是流氓软件的一个特性是他无法卸载。所以它又要使用下面的方法了
因为上面的很多方法都可以删除注册表卸载他们，那怎么办呢，那就会时时监控，它会在它的进程，或者线程里监控注册表项，设置一个循环监控，发现没了就继续安装，增加。我想这应该是很多流氓软件的技术。
那现在又出现了一个新问题，那就是流氓软件的进程线程要是结束掉怎么办呢？？？看西面
7。一种方法就是上面的api hook技术，钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确，使用这种方法，用户或者一般的软件就无法结束它的进程了。
8。还有一种是上面象bho,spi根本没有进程。一般的用户也无法删除他
9。还有一种方法是远程线程，这个技术用的也很普遍，首先是象api hook一样向目标进程里申请一段内存空间，然后使用自己映射过去，然后使用CreateRemoteThread创建远程线程。一般很多流氓软件或者以前的一些木马程序，都是把线程注入到系统进程譬如explorer,service等等，使用用户或者一般的杀毒软件很难处理或者结束。。
10。注册成服务后，也可以简单的隐藏进程。还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
从我上面列举的方法已经差不多可以形成好几款流氓软件了。但是你别高兴太早，因为这些技术只是应用层的，现在出现了一堆驱动层的反流氓软件工具，譬如超级兔子，完美卸载，木马克星，雅虎助手，还有现在火热的360安全卫士。
这些反流氓软件的方法删除以上流氓软件软件就比较简单。优先于流氓软件启动，截获所有访问流氓软件文件的irp，然后删除注册表项，删除文件。轻松的完成了反流氓任务。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
为了针对这些反流氓软件，流氓软件出现了内核层的了。
1。首先是使用文件过滤驱动，保护自己的文件，流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp，从而有效的保护了自己的文件。
2。内核级hook技术，可hook住所有公开的或者未公开的内核函数，譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3。驱动层下的流氓软件还使用内核级hook技术，替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表
4。利用内核级hook技术还有隐藏进程，或者监控进程，重起进程。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。因为同是驱动程序相互拦截irp等于大家都无法操作，反流氓软件工具的删除irp会被拦截，或者删除函数会被替换。删除注册表函数会被替换。虽然驱动的加载有先后，但是无法保证能完全的删除流氓软件，从而出现了一些更顶级的反流氓软件，他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。这类流氓软件又能有效的完成了反流氓任务，但是根据我了解，这样的软件不多。现在火热的360安全卫士都还只是使用了笨办法，优先于驱动流氓软件启动，创建一个驱动流氓软件同设备名的设备，，使流氓驱动创建不成功。具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面，就是简单的ndis就能优先于360启动。如果前面的组，那360就束手无策了。所以对付这类流氓驱动只能用直接发irp到文件系统。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
流氓软件又怎么来防止直接发irp到文件系统的反流氓软件呢？rootkit,我看很多对于rootkit有误解，很多都认为hook也是rootkit.呵呵，rootkit说白了就是嵌入操作系统文件。你不是发irp到文件系统吗？，可是我把文件系统给改了，不过rootkit根据我的观察unix或者linex下比较多，在windows下还是比较少的，因为需要使用汇编了，哎太晚了，不写了，我想如果流氓软件做到这个技术程度，它也没必要做流氓了，直接做操作系统得了：），下次继续分析吧。我不善于言语，可能错别字或者病句很多，大家见量。还是第一次写这么长的文章：））：）哎最近为数据挖掘的算法郁闷，希望大家能给点意见问题点数：0、回复次数：228Top

1 楼Nintendo_hc（黄金的太阳）回复于 2006-09-20 08:04:06 得分 0

强人啊。。。帮顶了，顺便鄙视下做流氓软件的Top

2 楼yjgx007（还不结帖?!听妈妈的话! http://www.geekclaw.com）回复于 2006-09-20 08:26:05 得分 0

分析得还不错...
如果有微软的文件系统核心层源代码就好了,嘿嘿!Top

3 楼LiHubei（lhb）回复于 2006-09-20 09:07:25 得分 0

不顶,怕你沉鱼落雁...Top

4 楼jacklzw88（不可爱咯）回复于 2006-09-20 09:07:56 得分 0

现在文件系统核心层源代码不一定有好处Top

5 楼leoduba（想工作但无人招）回复于 2006-09-20 09:28:37 得分 0

谢谢,如果有详细点的介绍就更好了Top

6 楼LookSail（老得牙都掉了还在学）回复于 2006-09-20 09:45:47 得分 0

写得不错，支持，另外强烈鄙视流氓软件，上次中了个彩信通，死活删不掉，只好重作系统Top

7 楼jacklzw88（不可爱咯）回复于 2006-09-20 10:07:39 得分 0

谢谢,如果有详细点的介绍就更好了
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

写的详细是没问题的，各种方法源代码都可以写出demo,不管是流氓的还是反流氓的
不过怕被别人利用。
~~~~~~~~~~~~~~~~~~~~~~~~~~~
如果大家想要什么功能的，不管是win32下还是内核驱动下的，都可以帮你们实现一下，提出来，我会写在我的blog里面Top

8 楼jacklzw88（不可爱咯）回复于 2006-09-20 10:08:16 得分 0

不过最怕的是一些功能很容易被流氓软件利用Top

9 楼breakind（冰舞,把练街舞的精神拿来编程,必有所成.）回复于 2006-09-20 10:16:18 得分 0

MARK学习Top

10 楼dashi（喜欢莲的憨木鱼）回复于 2006-09-20 10:24:56 得分 0

不顶,怕你沉鱼落雁...Top

11 楼fpgzs2（口吕品）回复于 2006-09-20 11:03:21 得分 0

不错！
顶Top

12 楼leoduba（想工作但无人招）回复于 2006-09-20 11:18:06 得分 0

我喜欢知道这些东西,由于不详细,我现在要到处找相关资料,所以希望贴出资料,如果可以的话,请在你BLOG贴出每个相关文章,谢谢Top

13 楼tvman（锋）回复于 2006-09-20 11:28:34 得分 0

顶Top

14 楼guangmingshizhe（光明使者（看《C++程序设计语言》））回复于 2006-09-20 16:28:48 得分 0

好贴！
Top

15 楼wxf0204（网泥www.xmlenz.cn）回复于 2006-09-21 11:14:03 得分 0

楼主,良心发现?
以前就是做这个的吧!Top

16 楼bclz_vs（边城）回复于 2006-09-21 11:39:56 得分 0

楼上
Top

17 楼CUG122032（烫烫烫烫烫烫?烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫?烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫）回复于 2006-09-21 11:48:09 得分 0

感觉windows 已经被玩透了.

逻辑上的漏洞太多了．Top

18 楼KeSummer（[IN]LPVOID YourLove,[OUT]LPVOID MyLove）回复于 2006-09-21 11:51:32 得分 0

LZ的方法是防御的方法?
会烦着用户的!想想有些防火墙带钩子,进程,危险API(CreateRemoteThread等)监控的,就如tiny,BI等自身就非常强大,可是为什么没什么用户肯用(多用在服务器场合)..因为实在太烦了.很多程序都要用到钩子例如explorer,杀毒软件等.还不如老老实实来个清理的.Top

19 楼tatbaby（岛主）回复于 2006-09-21 12:10:47 得分 0

强
学习下Top

20 楼zhaoyingqi（芹菜）回复于 2006-09-21 12:25:05 得分 0

楼主果然厉害，佩服不已Top

21 楼patchclass（黑翼）回复于 2006-09-21 12:34:46 得分 0

楼主介绍的不错，比我想的深，竟然还有这么变态直接发irp到文件系统的，狠，呵呵Top

22 楼patchclass（黑翼）回复于 2006-09-21 12:35:45 得分 0

收藏一下，希望还有高论Top

23 楼wsfx（爱我所爱）回复于 2006-09-21 12:38:06 得分 0

LZ我对你的敬仰有如滔滔江水，连绵不绝～～Top

24 楼xuancaoer（当回复为'mark'的时候请别给我分）回复于 2006-09-21 12:39:04 得分 0

markTop

25 楼liuxiaoyi666（MSMVP 小猪妹荣誉马甲之八卦兔子）回复于 2006-09-21 12:40:46 得分 0

呵呵,楼上的想法跟我差不多Top

26 楼net205（人不可以无耻到这种地步）回复于 2006-09-21 12:40:54 得分 0

强，可不懂.Top

27 楼liuxiaoyi666（MSMVP 小猪妹荣誉马甲之八卦兔子）回复于 2006-09-21 12:41:13 得分 0

楼上是说 patchclass(黑翼)Top

28 楼pshpan（Cipher）回复于 2006-09-21 12:44:13 得分 0

lz辛苦了，不容易写这么多！
还请有空的话能够说的更详细些Top

29 楼JNU_Brisky（）回复于 2006-09-21 12:47:37 得分 0

流氓牛，楼猪更牛。。Top

30 楼chary8088（天使鱼儿）回复于 2006-09-21 12:49:56 得分 0

好，不错
不过，写的太少了Top

31 楼upcsuiyuan（随缘）回复于 2006-09-21 12:53:21 得分 0

ding leTop

32 楼chaircat（chaircat）回复于 2006-09-21 12:55:26 得分 0

现在关掉Windows文件保护好像很容易了...
就怕到时候流氓直接替换掉系统文件就麻烦了...阿门...Top

33 楼naiza（叼虫小鸡）回复于 2006-09-21 13:01:56 得分 0

支持，另外强烈鄙视流氓软件Top

34 楼cpio（备注）回复于 2006-09-21 13:05:01 得分 0

看不懂，太高深了
Top

35 楼givemecool（橙色冬季 www.easydotnet.com）回复于 2006-09-21 13:06:29 得分 0

强人啊。。。帮顶了，顺便鄙视下做流氓软件的
Top

36 楼akirya（坏[其实偶不是什么所谓的坏人]）回复于 2006-09-21 13:09:12 得分 0

换个浏览器，或者使用普通权限的用户来运行IETop

37 楼pomelowu（羽战士）回复于 2006-09-21 13:17:55 得分 0

看看Top

38 楼CoolSlob（）回复于 2006-09-21 13:22:43 得分 0

markTop

39 楼yxjwang（yxj_wang）回复于 2006-09-21 13:28:08 得分 0

看看。顺便问一句，那些做流氓软件的
靠什么盈利？Top

40 楼icansaymyabc（学习与进步）回复于 2006-09-21 14:11:04 得分 0

哈哈，什么时候出个流氓操作系统好了。Top

41 楼skt01（skt001）回复于 2006-09-21 14:14:35 得分 0

学习Top

42 楼fengfeiwuwq（寒烟翠）回复于 2006-09-21 14:50:40 得分 0

看了楼主的分析，一下子加深了对操作系统内核的理解，不知道楼主是否愿意公开联络方式，我们这些后辈也好多向你讨教讨教Top

43 楼shiliangdong（Stou）回复于 2006-09-21 15:09:46 得分 0

ding aTop

44 楼pantung（up）回复于 2006-09-21 15:10:45 得分 0

mark 好的通讯机制有吗？Top

45 楼julong88（（无锋之刃））回复于 2006-09-21 15:25:09 得分 0

强帖留名Top

46 楼panl82（panl82）回复于 2006-09-21 15:30:07 得分 0

楼主blog地址？Top

47 楼SainTown（）回复于 2006-09-21 15:35:40 得分 0

说实在，这个话题嘛，讨论讨论技术可以。
但流氓软件这个问题仅靠技术是绝对解决不了的。Top

48 楼javaman8（javaman）回复于 2006-09-21 15:57:52 得分 0

顶Top

49 楼violet_250（）回复于 2006-09-21 16:00:39 得分 0

长见识了。。Top

50 楼wjo（兼职算命）回复于 2006-09-21 16:06:35 得分 0

顶下Top

51 楼baojian88888（机器人）回复于 2006-09-21 16:09:34 得分 0

不错，markTop

52 楼sxdgundam（sxdgundam）回复于 2006-09-21 16:13:41 得分 0

偶像啊!!!Top

53 楼pol000（糊涂）回复于 2006-09-21 16:21:17 得分 0

markTop

54 楼frankwong（黄梓钿）回复于 2006-09-21 16:30:08 得分 0

许多流氓软件都是一些著名网站的,比如baidu,yahoo,3721,这些有头有脸的家伙应该用法律来约束他们才对,
另:楼主文章精辟,强!Top

55 楼show（等我轻舞飞扬(抵制日货)）回复于 2006-09-21 16:39:53 得分 0

markTop

56 楼robin_yao（）回复于 2006-09-21 16:45:41 得分 0

。。。
我在CU上刚看过这个文章。Top

57 楼analysefirst（+++++++++=剑客++~~）回复于 2006-09-21 16:46:04 得分 0

MARK
楼主,强!!
准备回去认真看操作系统核心编程.Top

58 楼abaowu（阿宝）回复于 2006-09-21 16:51:16 得分 0

mark yi jiTop

59 楼cestar2005（往事随风）回复于 2006-09-21 16:57:41 得分 0

UP,强烈BS流氓软件Top

60 楼tonghua_123（阿党）回复于 2006-09-21 17:24:06 得分 0

BS流氓软件Top

61 楼cndeer（还是王子）回复于 2006-09-21 17:28:50 得分 0

先顶一下
了解一下Top

62 楼mrzj（mrzj）回复于 2006-09-21 17:37:25 得分 0

國內應該對流氓軟件立法，要讓制作流氓軟件與惡意大量傳播流氓軟件者需要付出大量的民事賠償。

比如3721，如果誰中了3721，3721公司就得按中毒電腦的原價賠償給受害者，如真有此法律3721公司就不敢這麼肆無忌憚的制作傳播流氓軟件了。

我覺得最完美解決病毒與流氓軟件的方法，還得由微軟公司來作，其實微軟公司做這些很容易的，只要微軟按時間點發布所有系統的核心文件，當中毒時覆蓋掉現有核心文件即可,現在的系統還原就有這樣的意思了。

中了毒在殺，終究是慢了，如果病毒軟件要是厲害，完全可以屏東掉殺毒的運行。我認為只有對系統核心文件進行覆蓋才是病毒與流氓軟件的惡夢。Top

63 楼mdf2008（十二乐坊的FANS）回复于 2006-09-21 17:39:33 得分 0

分析得很好，顶Top

64 楼great123（月如弯刀）回复于 2006-09-21 17:55:11 得分 0

好文章,收藏了!Top

65 楼great123（月如弯刀）回复于 2006-09-21 17:59:48 得分 0

不过我对付流氓软件一般都是自己手工清楚,清除不了就ghost.

稍微简单些就装一个系统还原软件,发现有问题立即还原系统.

省时间,没有必要跟流氓软件折腾.
Top

66 楼look_and_look（发现）回复于 2006-09-21 18:12:27 得分 0

只要大家都不上网，那整个世界都清静了......Top

67 楼myceolzy（）回复于 2006-09-21 19:09:28 得分 0

强呀。。
佩服楼主的功底。。。
Top

68 楼gfllove（linden）回复于 2006-09-21 19:32:16 得分 0

做流氓软件的人就该被逼视，我恨透了这些软件，
因为本人电脑经常重招Top

69 楼broccoli（-_-||）回复于 2006-09-21 19:34:37 得分 0

markTop

70 楼fengzhizhu（风之竹 KingOne）回复于 2006-09-21 19:34:44 得分 0

写得很好！记下笔记。。。Top

71 楼stevecrisewu（月亮骑士）回复于 2006-09-21 20:10:21 得分 0

可以看看微软的文件系统白皮书，呵呵Top

72 楼michaeliao（）回复于 2006-09-21 21:00:33 得分 0

感觉很牛啊。不过有些不懂啊......
对LZ的敬仰之情有如滔滔江水连绵不绝啊Top

73 楼tx18（www.sqlserver.com.cn）回复于 2006-09-21 21:20:33 得分 0

楼主好人!
对付流氓软件最好是防范于未然,本人的Windows2003运行了一年多,仍然健康依旧!
有空时也与大家分享一二!Top

74 楼lfchen（一条晚起的虫--床上用品[家纺]专卖）回复于 2006-09-21 22:40:41 得分 0

写的不错
markTop

75 楼kangji（尾鱼头）回复于 2006-09-21 22:45:14 得分 0

有空来看看Top

76 楼deng_2518（forever）回复于 2006-09-21 23:35:33 得分 0

支持楼主啊。厉害Top

77 楼RadonMar（氡马）回复于 2006-09-21 23:57:40 得分 0

缩写太多，不甚了了。只懂大意，不能细品呀！Top

78 楼Ariese（果冻）回复于 2006-09-22 08:16:30 得分 0

MAEKTop

79 楼xirumin（吃好喝好）回复于 2006-09-22 08:17:31 得分 0

markTop

80 楼Richard_Hong（武昌鱼）回复于 2006-09-22 08:24:43 得分 0

收藏Top

81 楼baifeng（天苍苍，野茫茫，风吹裤裆毛飞扬。）回复于 2006-09-22 08:44:22 得分 0

MARKTop

82 楼evilshow（如果不能反抗,不如好好享受）回复于 2006-09-22 08:58:34 得分 0

最讨厌流氓软件了~Top

83 楼Aizz（Nova）回复于 2006-09-22 09:42:06 得分 0

最近被别人用了一下电脑，立马中了一个 MMAssist 的破烂东西，360卫士找到了也无能为力，手头又找不到启动光盘，把我郁闷的...

“从而出现了一些更顶级的反流氓软件，他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统”

楼主写一个这个的 Demo 吧，我想看，谢谢。Top

84 楼wanglovec（阳光飞舞）回复于 2006-09-22 09:43:02 得分 0

支持，另外强烈鄙视流氓软件Top

85 楼FatSpiders（蜘蛛仔）回复于 2006-09-22 10:09:18 得分 0

支持一下..
轻轻顶一下.Top

86 楼scu_suke（）回复于 2006-09-22 10:25:50 得分 0

看看Top

87 楼pioneer_public（）回复于 2006-09-22 10:35:32 得分 0

学习Top

88 楼xqlez（&引用）回复于 2006-09-22 10:47:46 得分 0

写的很好,但如果能写个开源的反流氓软件会更好Top

89 楼bigbigfans（小骁）回复于 2006-09-22 11:16:32 得分 0

不错，学到很多东西Top

90 楼blfman（南南北北）回复于 2006-09-22 11:21:45 得分 0

顶，强烈鄙视流氓软件！Top

91 楼豆腐（）回复于 2006-09-22 11:31:28 得分 0

收藏Top

92 楼kong_d_f（生命只有使用权，没有所有权，今天的你是过去所有的你的累积）回复于 2006-09-22 11:44:45 得分 0

顶，强烈鄙视流氓软件！
Top

93 楼qltouming（缘木渔人-临渊羡鱼，不若退而结网）回复于 2006-09-22 12:19:03 得分 0

学习一下Top

94 楼jspadmin（阿笨狗http://www.pifoo.com域名空间专卖cn20、com50元）回复于 2006-09-22 13:21:45 得分 0

收藏Top

95 楼beyondjay（初学者）回复于 2006-09-22 13:40:34 得分 0

厉害，佩服！Top

96 楼YJS050320001（Thinking）回复于 2006-09-22 13:41:21 得分 0

顶Top

97 楼jxyaolp（kt）回复于 2006-09-22 13:42:59 得分 0

upTop

98 楼Analyst（）回复于 2006-09-22 13:59:30 得分 0

流氓软件靠技术是阻止不了的，其实流氓软件之所以盛行还是因为受利益驱使，打击流氓软件关键在于切断流氓软件的利益来源，通过法律，行政，社会公众等各方面出手，使得流氓软件开发者得不偿失，则流氓软件便没有了生存空间。Top

99 楼flatcd（Bob）回复于 2006-09-22 14:34:41 得分 0

强，现在能想到的方法都别你写到了。
昨天发现QQ好像也开始流氓了，详细见：
http://blog.joycode.com/johnxu/archive/2006/09/21/83988.aspxTop

100 楼MagicPeng（彭彭）回复于 2006-09-22 14:40:40 得分 0

qiang !Top

101 楼bsnail（小马）回复于 2006-09-22 14:59:32 得分 0

up
Top

102 楼cnyxlxw（黑夜给了我黑色的眼睛我用他来寻找光明）回复于 2006-09-22 15:12:01 得分 0

markTop

103 楼cnyyk（Stay Hungry. Stay Foolish.）回复于 2006-09-22 16:36:42 得分 0

有道理。Top

104 楼paleyyang（我就是烟鬼）回复于 2006-09-22 16:58:39 得分 0

我顶你个肺。呵呵。我电脑经常什么防火墙也不装。仍然健康。怎样。牛吧。HOHO。开个玩笑。Top

105 楼MEFULEU（没有作不到，只有想不到）回复于 2006-09-22 17:17:57 得分 0

强人啊。。。帮顶了，顺便鄙视下做流氓软件的Top

106 楼muroachanf（阿远之哈儿）回复于 2006-09-22 17:20:07 得分 0

唉,技术都拿来做什么了,这群人,无趣Top

107 楼hmj（漫漫长路从Java开始）回复于 2006-09-22 17:49:01 得分 0

楼主强人
拜Top

108 楼jinhengxyz（）回复于 2006-09-22 18:20:37 得分 0

搂主强人！！
学习赫赫Top

109 楼life99（）回复于 2006-09-22 18:44:17 得分 0

楼主强人，受教了。
BS牛逼的流氓软件，流氓软件真是让人又惊又怕，然而正因为我流氓软件的存在，才使得原来无意于向软件深入的人学习软件，试想一直想上的网络受到了威胁，那怎么办？
当然要解决它啊。呵呵，我就是其中之一。Top

110 楼alaiyeshi（七宝树八宝饭）回复于 2006-09-22 18:56:51 得分 0

linux启动的时候,所有的进程都是有init(1号进程)进程fork出来的,把init进程给劫持了,那就很可怕了

技术上没有不能被利用的,要在法律上对其压制,要让他赔的底儿掉,那就没人敢去做了Top

111 楼Juchiyufei（三更半夜我送你回家.总统也许我做不到.今生难得的遇见你,我们就应该在一起.....）回复于 2006-09-22 19:01:55 得分 0

搂主强人！！
学习赫赫
Top

112 楼luoly（）回复于 2006-09-22 19:55:26 得分 0

学习Top

113 楼kmlxk（xiaoKKKK）回复于 2006-09-22 20:18:19 得分 0

刚看到报纸上的流氓软件公司每月盈利3000万，钱。。。。Top

114 楼OboyingO（）回复于 2006-09-22 21:44:04 得分 0

第一次在此发贴狂顶你!!Top

115 楼free_wang（）回复于 2006-09-22 22:01:14 得分 0

ohTop

116 楼ljj3004（）回复于 2006-09-22 22:50:07 得分 0

学习ing, 鄙视流氓软件!Top

117 楼lsftest（）回复于 2006-09-23 01:12:08 得分 0

把冰刃拿出来吧。。。
向流氓软件砍去。。。。。。。Top

118 楼dzq138（钟添）回复于 2006-09-23 02:26:07 得分 0

..Top

119 楼mng2006（星杰ERP(www.xjerp.com)）回复于 2006-09-23 08:54:01 得分 0

写得不错，要是详细点就更好！
我也中过，所以非常讨厌流氓软件。
但从技术层面分析，也是一些高人啦。Top

120 楼irplay（www.irplay.com）回复于 2006-09-23 09:15:45 得分 0

刚装完系统，IE就当掉，后来用木马克星杀了一下，居然有个流氓软件，杀之而后快……Top

121 楼cmaboy（浪子）回复于 2006-09-23 09:32:49 得分 0

谢谢楼主，路过学习Top

122 楼gzty（【风逍遥】123笨小孩天天快乐）回复于 2006-09-23 09:39:08 得分 0

呵呵
卡巴斯基 + ewido + 网镖
一般够用了Top

123 楼wyfcat（想飞翔的猫）回复于 2006-09-23 09:41:33 得分 0

markTop

124 楼ly_liuyang（Liu Yang LYSoft http://lysoft.7u7.net）回复于 2006-09-23 09:48:01 得分 0

现在尚没有NT Native下的杀毒软件和流氓软件查杀工具Top

125 楼eastsir（）回复于 2006-09-23 09:57:19 得分 0

dTop

126 楼dfsong（dandan）回复于 2006-09-23 10:04:22 得分 0

分析的太强了，佩服佩服Top

127 楼mysticboy（_๑۩۞۩๑۰•●|麦۞壳۞饼|●•۰๑۩۞۩๑_）回复于 2006-09-23 10:15:52 得分 0

其实呢.再流氓,还是可以杉掉的.我的机子上次被搞.最终还是删了.
到安全模式或者找到那些文件.在DOS下一个一个清理.
重新启动后注册表里东西再删除了就行了.Top

128 楼mysticboy（_๑۩۞۩๑۰•●|麦۞壳۞饼|●•۰๑۩۞۩๑_）回复于 2006-09-23 10:16:36 得分 0

对了.我有一张光盘,光盘可以启动为WINDOWS,是光盘里的.
用它可以操作现有的系统。Top

129 楼andylaus（冲出重围）回复于 2006-09-23 10:28:25 得分 0

分析得如此详细,楼主真牛人啊!
同时BS一下流氓软件的制造者!!Top

130 楼ysai（所有真的都是假的真,所有假的都是真的假）回复于 2006-09-23 10:36:30 得分 0

现在的主流是修改SSDT(系统服务描述表)
最新的3721(YAHOO助手)和百度搜霸都采用了这种技术

最近在找不用驱动恢复SSDT的相关资料,有个工具SSDT Recover就做到了Top

131 楼jacklzw88（不可爱咯）回复于 2006-09-23 15:06:14 得分 0

楼上说的SSDT就是我说的驱动下面hook内核的技术.

_asm cli
_asm mov eax,cr0
_asm and eax,0fffeffffh
_asm mov cr0,eax
RealZwCreateProcess = (NTCREATEPROCESS)(*(((PSRVTABLE)ServiceTable)->ServiceTable + 0x29));
(NTCREATEPROCESS)(*(((PSRVTABLE)ServiceTable)->ServiceTable + 0x29))= HookZwCreateProcess;
_asm mov eax,cr0
_asm or eax,10000h
_asm mov cr0,eax
_asm sti
这是我hook ZwCreateProcess的代码Top

132 楼jacklzw88（不可爱咯）回复于 2006-09-23 15:09:30 得分 0

突然发现自己的文章被很多大网站转载，但是好象都把名字和出处都去掉了。。。中国的版权问题啊。。哎，不说了！我就在csdn和驱动网上发了一下。。
Top

133 楼qiuzhizhe（求知者）回复于 2006-09-23 16:01:13 得分 0

呵呵，楼主，在中国很难考虑版权问题的，就连软件都是盗版成群更别说转载不注明作者和出处了！好文章应该共享不错，但是，共享的同时应该尊重作者。所以为楼主叫一下不平。
顺便说一下，数据挖掘确实好烦人，前段时间只是为了完成一个作业就花了好长时间。Top

134 楼languagec（各有所求）回复于 2006-09-23 16:33:50 得分 0

强人。Top

135 楼CyberVsQ（逸趣）回复于 2006-09-23 16:50:08 得分 0

dingTop

136 楼zzmsl（周先生）回复于 2006-09-23 17:29:01 得分 0

呵呵
卡巴斯基 + ewido + 网镖
一般够用了

我啥都不用。Top

137 楼ilexyang（）回复于 2006-09-23 18:23:49 得分 0

为楼主叫下冤，BS那些转载不留出处的网站和blogTop

138 楼frwing（）回复于 2006-09-23 20:36:27 得分 0

顶！支持原创Top

139 楼mudonfield（如影随行·郁闷得太久了）回复于 2006-09-23 22:14:30 得分 0

强顶，支持楼主，反对流氓。

MarkTop

140 楼bossyu（卡卡）回复于 2006-09-23 22:34:42 得分 0

好贴该顶的Top

141 楼wubaowang（Knowledge is power）回复于 2006-09-23 23:53:16 得分 0

学习.Top

142 楼jxfengzi（子丰）回复于 2006-09-24 00:35:11 得分 0

upTop

143 楼aql2006（）回复于 2006-09-24 09:53:26 得分 0

反对流氓！！！Top

144 楼zswang（伴水清清)(专家门诊清洁工）回复于 2006-09-24 11:03:27 得分 0

楼主研究过划词搜索没
那玩意儿到安全模式下都删除不了
只能到DOS下干掉
如果是在ntfs盘则需要用启动盘
或者将垃圾的目录或文件的所有的权限都删除
再清注册表，删除文件

这两个文件已经挂到系统上了
hcalway.sys，abhcop.sysTop

145 楼jacklzw88（不可爱咯）回复于 2006-09-24 13:31:34 得分 0

划词搜索,我想也就是修改SDT服务表，hook住了一些函数，只要你恢复一下，删除应该就没问题了Top

146 楼zzyong00（阿勇）回复于 2006-09-24 14:09:15 得分 0

看了强人的文章，才知道自己的水平！唉Top

147 楼Leomaxking（害怕孤独，但已习惯孤独）回复于 2006-09-24 14:42:47 得分 0

支持下原创Top

148 楼hukebine（）回复于 2006-09-24 14:45:34 得分 0

学习了!!!谢谢楼主~!Top

149 楼Jedimaster（CRH = 耻辱号）回复于 2006-09-24 15:11:59 得分 0

LZ提到的核心API替换技术有些类似于STARFORCE的加密技术，不过还是没有办法从本质上防止写入。我想是不是应该充分的利用ACL，严格控制程序对注册表进程的写入，不过用WIN32 API编写的程序无法做到，类似于虚拟机的.net是不是可以呢？Top

150 楼Stefine（CSDN最菜滴猩猩）回复于 2006-09-24 22:29:40 得分 0

学习啊Top

151 楼Gestaporay（发黑二极管）回复于 2006-09-24 23:58:35 得分 0

我还以为是求助贴，哈哈哈，见笑见笑Top

152 楼zincy（1231）回复于 2006-09-25 00:42:16 得分 0

upTop

153 楼hcs_1018（）回复于 2006-09-25 08:05:15 得分 0

前几年流氓软件还是很少`但最近几年只要能上网没有没有中标的`真是头疼
LZ写出了问题的实质`但问题的解决办法好象还没拿出来啦`咋办`Top

154 楼wing17（蓝翼）回复于 2006-09-25 08:49:14 得分 0

markTop

155 楼fliplion（）回复于 2006-09-25 09:03:18 得分 0

请注明转载Top

156 楼terry52（天天在线）回复于 2006-09-25 09:03:46 得分 0

厉害Top

157 楼litzany（糊涂大仙）回复于 2006-09-25 09:05:22 得分 0

学习,顺便强烈鄙视一下流氓软件Top

158 楼bladestar（小志）回复于 2006-09-25 10:19:05 得分 0

没想到Filter FileSystem有这个用处啊！不错~~Top

159 楼zzzace（怀念以前的小吃）回复于 2006-09-25 10:27:17 得分 0

楼上有奸细，乃流氓软件生产者 =。=Top

160 楼myredit（狐狸）回复于 2006-09-25 10:58:02 得分 0

dingTop

161 楼bladestar（小志）回复于 2006-09-25 11:15:34 得分 0

偶的下一个课题：内核级流氓软件的研究与遏制

T_TTop

162 楼chenjunge（狄克）回复于 2006-09-25 11:34:56 得分 0

比较全面Top

163 楼mozhu916（蓝是那么的天，白是那么的云）回复于 2006-09-25 11:45:12 得分 0

高手，学习一下Top

164 楼postren（小虫【宝宝出生，真忙】）回复于 2006-09-25 13:21:55 得分 0

学习来了Top

165 楼wwwdbs（涓涓溪流）回复于 2006-09-25 13:39:07 得分 0

PFTop

166 楼ch8433（ch8433）回复于 2006-09-25 14:04:33 得分 0

mark！Top

167 楼hillt（LONELY AND NOTHING）回复于 2006-09-25 14:37:34 得分 0

膜拜234Top

168 楼defyer007（深入浅出）回复于 2006-09-25 16:30:14 得分 0

对一般用户应该更多讨论下防范技术和手段Top

169 楼vvvoid（那个长草的土包包，就是青石街5号。）回复于 2006-09-25 18:05:05 得分 0

haoTop

170 楼long33（阿龙）回复于 2006-09-25 19:06:11 得分 0

道高一尺，魔高一丈。Top

171 楼xuStanly（依依myLove）回复于 2006-09-26 09:05:19 得分 0

以前什么防毒软件都不装，中了一次百度搜霸后害得重装系统，给吓住了，下了个卡巴斯基装上，感觉还可以，卡巴这玩意宁肯杀错绝不放过，有一段时间连JS脚本里包含eval()函数的都当病毒。再加上IE的安全性得到了加强，至今再未中过招。呵呵。Top

172 楼hchile（微波淡影）回复于 2006-09-26 09:20:07 得分 0

看来每一次开机都得将注册表的五个文件覆盖一次才行呀，看来又要用回DOS的知识才行了。Top

173 楼sonyicn（翻口皮）回复于 2006-09-26 10:10:54 得分 0

呵呵，强贴。
以前从来不怕木马病毒的，但是前段时间遇到过一个流氓软件，连McAfee，Kapersky都不能完全清楚，自己手动清除，DOS下杀也都无济于事，今天算是晓得了点原因了Top

174 楼pettergao0（）回复于 2006-09-26 13:09:42 得分 0

感谢LZ的分析,终于明白为什么为什么我装了那么多反流氓软件的软件都是删不完我电脑里的流氓软件
该死的流氓软件,鄙视做流氓软件的
强顶LZTop

175 楼AzraeLN（@_@）回复于 2006-09-26 17:22:24 得分 0

现在中的招多了360也不好使了，自己老是起不来，只能用icesword和sreng和processexplorer了Top

176 楼hsdzucc01（）回复于 2006-09-26 20:19:20 得分 0

达人,支持!!Top

177 楼andrew999（休闲谷）回复于 2006-09-26 21:20:53 得分 0

前几年流氓软件还是很少`但最近几年只要能上网没有没有中标的`真是头疼
LZ写出了问题的实质`但问题的解决办法好象还没拿出来啦`咋办`

同意！！！Top

178 楼qin1010（qin1010）回复于 2006-09-27 00:58:21 得分 0

我认为：软件只要有防（自动或人工）卸载功能，就是流氓软件。
对于我不喜欢的软件，我就要随时可以卸载！！！Top

179 楼royeleo（煨灶猫||(只要一颗★)）回复于 2006-09-27 13:15:20 得分 0

问题是现在的流氓软件大多提供卸载功能阿，只是卸载后实际上它还隐蔽的藏在那里Top

180 楼zctom23（I love this language）回复于 2006-09-27 13:16:37 得分 0

受益匪浅！~~Top

181 楼ilingyue（）回复于 2006-09-27 16:03:24 得分 0

刚中了被流氓软件
谢!Top

182 楼sz_lgp（longguoping）回复于 2006-09-27 16:44:18 得分 0

精彩！真精彩！Top

183 楼cuizhanjun1981（城市稻草人）回复于 2006-09-28 09:05:57 得分 0

LZ我对你的敬仰有如滔滔江水，连绵不绝～～
Top

184 楼Hank（星星农场）回复于 2006-09-28 09:33:36 得分 0

只要是被动安装而且无法直接卸载或删除的就是流氓软件Top

185 楼helendeer（只要精神不滑坡,方法总比困难多）回复于 2006-09-28 10:04:41 得分 0

流氓软件靠技术是阻止不了的，其实流氓软件之所以盛行还是因为受利益驱使，打击流氓软件关键在于切断流氓软件的利益来源，通过法律，行政，社会公众等各方面出手，使得流氓软件开发者得不偿失，则流氓软件便没有了生存空间。

同意这个！就是该罚死他们,让他们赔的底掉,世界就干净了

怎么法律条文就是迟迟不出哪?Top

186 楼wangk（倒之）回复于 2006-09-28 10:16:38 得分 0

jacklzw88的思考角度有问题，就是在中了流氓软件后怎么办，我们不妨思考一下如何预防中流氓软件，我到现在为止还没有被流氓软件骚扰过（除了第一次3721的那一次，让我见识了什么叫流氓软件）
流氓软件软件的安装过程：
执行安装文件->安装驱动->修改注册表（自动运行和BHO）->加载驱动->运行流氓代码（不一定是进程，可能附在别的进程上）->保护自己（钩子、远线程等）。
其实反流氓软件只要在上述的前三个环节打断它，就不会中招了，在后面的打断它，就能删除流氓文件了。在执行安装文件打断最有效。虽然IE有漏洞，可能被偷偷执行某文件，但是我们可以用工具拦截启动的程序，比如SSM。当然这要使用的人要有安全意识，不能什么都不看就放过了。
2.监视无缘无故安装的驱动，二话不说就干掉。
3.监视关键的注册表键比如IE的BHO注册位置、五个自动运行键、两个DLL注入位置等。
至于所谓的什么钩子、远线程只要执行不起来就都被掐死了，根本就用不出来。
当然在这一步拦截也是可以的。Top

187 楼bladestar（小志）回复于 2006-09-28 11:00:05 得分 0

ZoneAlarm防火墙是目前最全面，最彻底的Top

188 楼egxsun（egxsun）回复于 2006-09-28 11:01:41 得分 0

markTop

189 楼jacklzw88（不可爱咯）回复于 2006-09-28 11:18:08 得分 0

wangk(倒之)说的预防是最主要的，其实现在很多的流氓插件并不是你说ie漏洞下来。说实话，现在windows漏洞已经比较少了，就算一天到晚在找windows漏洞的花费不少时间找到一个他也不可能公开。只要更新好微软的全部补丁，一般ie漏洞下来是比较少的。现在一般的流氓软件是用户主动安装的，因为其实很多人是不懂技术的，他根本不知道这个是什么，还有一些是捆绑在一些软件上的，有提示是否安装某个插件，或者有的根本没提示，更有的甚至装一堆。如果你的防火墙没有该流氓软件的特征码的话是很难预防，而其实现在的流氓软件改变特征码的值是很快。所以很难预防。（有技术或者经验的除外），其实在中国流氓软件泛滥的一大主因是中国盗版软件太多，大家意识就是没什么软件网上下一个安装。太不保护知识产权了。
这个我推荐大家一个icesword不错的，可以恢复SSDT表，而且显示文件的irp也与 windows不同。所以很难隐藏，虽然我现在已经知道了破它的方法，保护进程，隐藏文件，隐藏注册表的方法，但是现在市面上的一般的流氓软件也可以说差不多所有的流氓软件还不掌握这个技术，应该都可以清除。Top

190 楼LifeForCode（用生命编程.再入轮回(2007)）回复于 2006-09-28 14:05:09 得分 0

qiangTop

191 楼zjbirdman（）回复于 2006-09-28 15:16:38 得分 0

markTop

192 楼rageliu（天气好了就去长白山看水怪去了，嘿嘿...）回复于 2006-09-28 15:26:35 得分 0

完了，最近刚好在学驱动，写个流氓软件什么的练练手大家不会BS偶吧？Top

193 楼rageliu（天气好了就去长白山看水怪去了，嘿嘿...）回复于 2006-09-28 15:30:02 得分 0

“这个我推荐大家一个icesword不错的，可以恢复SSDT表，而且显示文件的irp也与 windows不同。所以很难隐藏，虽然我现在已经知道了破它的方法，保护进程，隐藏文件，隐藏注册表的方法，但是现在市面上的一般的流氓软件也可以说差不多所有的流氓软件还不掌握这个技术，应该都可以清除。”

jacklzw88(不可爱咯) ，兄台说的冰刃？你已经能在它下面实现进程等的隐藏了？？？？

我佩服死了，强悍的人真多，我这样的看来没法混了Top

194 楼davemin（davemin）回复于 2006-09-28 18:15:39 得分 0

呵呵, 有人做过伪kernel 吗?
不过正如楼主说的, 做程序做到这份上,不如做操作系统了.
欢迎高手加入ＶＣ技术ＱＱ群:30107096Top

195 楼jacklzw88（不可爱咯）回复于 2006-09-28 19:33:04 得分 0

rageliu(长白山的水怪居然是假的近期目标是还债!!!等有钱了去喀纳斯看水怪...（潜心修炼文件过滤驱动）)
~~~~~~~~~~~~~~~~~
还无法隐藏，只能保护：）你考虑一下system进程就知道方法了Top

196 楼rageliu（天气好了就去长白山看水怪去了，嘿嘿...）回复于 2006-09-29 07:58:51 得分 0

jacklzw88(不可爱咯)

谢谢分享经验。pif是牛，呵呵。要是能在它下实现完美隐藏就强了。
Top

197 楼penghaijun（kevin）回复于 2006-09-29 12:16:51 得分 0

呵呵，强。。。。
Top

198 楼cockroachhz（Allen）回复于 2006-09-29 13:00:06 得分 0

强！！！强人！！Top

199 楼net_gaojie（）回复于 2006-09-29 16:20:56 得分 0

应该还有其他的方法!!!只要了解WINDOWS内核,流放软件用到的不只这些!
就如!! 他还可以像驱动一样的安装.只要它够深入低层
Top

200 楼satans18（(何畏)(只要你过得比我好)）回复于 2006-09-29 17:27:34 得分 0

nin ~Top

201 楼ok999ok（FreeMan）回复于 2006-09-30 21:54:35 得分 0

upTop

202 楼saylerboxer（精怪）回复于 2006-09-30 23:20:20 得分 0

牛比！学习中，收藏之Top

203 楼gameslq（图蓝花）回复于 2006-09-30 23:27:23 得分 0

up
Top

204 楼IamDeane（冷冷的风(Deane)）回复于 2006-10-01 11:27:49 得分 0

哈哈哈哈哈哈哈哈，很久没有这样笑过了，要杀流氓软件必要先杀流氓，流氓软件从根本上来讲就是D版若的货或者是破解工作者们伟大的贡献，封了下载D版，破解的网站，把搞载D版，破解的都扔到监狱里，程序员的日子好过了，我想大部分程序员都自觉去抵制流氓软件了~~~这才是根~~~~Top

205 楼longge520（longge520）回复于 2006-10-01 11:50:56 得分 0

mark

Top

206 楼lsftest（）回复于 2006-10-01 17:39:20 得分 0

IamDeane(冷冷的风(Deane)) ( ) 信誉：100 Blog 2006-10-01 11:27:00 得分: 0

哈哈哈哈哈哈哈哈，很久没有这样笑过了，要杀流氓软件必要先杀流氓，流氓软件从根本上来讲就是D版若的货或者是破解工作者们伟大的贡献，封了下载D版，破解的网站，把搞载D版，破解的都扔到监狱里，程序员的日子好过了，我想大部分程序员都自觉去抵制流氓软件了~~~这才是根~~~~

============================================
这位兄台看来还不知道现在的流氓软件究竟流氓到什么程度。。
如果只是象你说的那样，因为用了盗版破解软件而惹上流氓软件，我想很多人也认了，就比如自己去找小姐而染了花柳梅毒，那是自找，怨不得谁，最多嚷嚷两句，但绝不会如此咬牙切齿的。。。
但如果你无缘无故的被一个患了花柳梅毒的小姐强奸了因而导致有了花柳梅毒，那你又会怎么想？？？？？Top

207 楼QQgenie（妖魔鬼怪）回复于 2006-10-05 12:48:49 得分 0

把流氓软件定义为抢劫犯，就与病毒挂上勾了，就可安制造病毒的办法处理了。

流氓软件以中国的居多，主要是为了点击率、盗密，为了不确定的东西杀头的事情就会慢慢少下来的Top

208 楼Stefine（CSDN最菜滴猩猩）回复于 2006-10-05 13:09:37 得分 0

又过来看看
不可爱咯真牛Top

209 楼cuizhanjun1981（城市稻草人）回复于 2006-10-05 13:25:22 得分 0

我也是回来在看看，不过还要说一便：

LZ我对你的敬仰有如滔滔江水，连绵不绝～～Top

210 楼dick_song（卡菲的伙伴）回复于 2006-10-05 13:29:59 得分 0

关注中。。。Top

214 楼mosquitoxh（(IT,中间件,架构)http://it.paiming.org/bbs）回复于 2006-10-07 20:18:13 得分 0

mkTop

215 楼taianmonkey（）回复于 2006-10-08 13:16:46 得分 0

枚举进程空间内的模块，查找到相应的DLL，就CreateRemoteThread FreeLibaryTop

216 楼adaailpll（）回复于 2006-10-08 21:32:10 得分 0

markTop

217 楼dream2013（每个人都有魔鬼的一面( http://blog.sina.com.cn/u/1422260677 )）回复于 2006-10-08 21:47:24 得分 0

强大的楼主Top

218 楼daiybh（）回复于 2006-10-09 09:07:45 得分 0

mark.Top

219 楼ivy8890（E宁）回复于 2006-10-09 10:23:35 得分 0

markTop

220 楼riciny（像风一样浪迹天涯!）回复于 2006-10-09 13:04:37 得分 0

楼主真是强人阿Top

221 楼csnight（午夜飞行）回复于 2006-10-09 13:30:07 得分 0

太佩服楼主了，楼主是国内某（反）流氓软件公司的技术总监吧Top

222 楼yandebin2006（成长ing）回复于 2006-10-09 21:32:36 得分 0

呵呵
Top

223 楼cqqjzb（铭骏）回复于 2006-10-10 08:44:50 得分 0

佩服Top

224 楼microyzy（人不在牛，分高就行；分不在高，人牛也行）回复于 2006-10-10 09:59:17 得分 0

厉害，每分析过，偶一把是发现一个手工清一个，麻烦。。。Top

225 楼wangyouxi（）回复于 2006-10-10 11:14:51 得分 0

写的真好，真详细。。莫非....流氓软件就是你开发的……？？？？Top

226 楼tanyaliji（努力学习.net)(★）回复于 2006-10-19 16:35:48 得分 0

写的很好, 继续.Top

227 楼sz_04022（帮别人开启一扇窗，也就是让自己看到更完整的天空）回复于 2006-10-19 16:59:15 得分 0

markTop

228 楼dragonbbc（dragon）回复于 2006-11-23 11:51:39 得分 0

不错，学习一下Top