-
-
[讨论]关于UC浏览器的驱动加载
-
发表于: 2022-10-18 16:30
-
最近由于工作需要,把UC浏览器安装了一下。结果发现电脑会不定期的卡一下,鼠标莫名转圈圈,经过折腾发现是“uclauncher.exe”这个程序在捣乱。看文件描述,盲猜是加载驱动的。
但问题的关键是,这个“uclauncher.exe”包括和它同目录下的几个文件早已被我删掉了,包括一个名为“UCBrowserSecureUpdater”的计划任务,也同样被我删掉了。看到这几个文件又出现后,我又去检查了一下计划任务,果然,连带着“UCBrowserSecureUpdater”这个计划任务也复活了,啧,妙啊。
盲猜一波儿,是注册了关机回调,或者是加载的驱动并不在这个路径下面。
我不打算关注那么多,决定先把“Security”这整个目录都删了,然后我神奇的发现,这个目录居然删不掉,只是把这个目录已经被清空了,但是这个目录本身一直删不掉。首先用我自己开发的工具删;又用YDArk;最后又下载了360,居然全都删不掉。我的电脑上PCHunter跑不起来。
又经过一番折腾,发现这个目录删不掉的原因是,这个目录附加了一个NTFS流文件,并且在内核层有这个NTFS流文件的句柄。而关闭文件句柄的时候,通常是按照文件名去匹配的,但是“Security”这个目录根本就没有被打开过,所以当然找不到文件句柄,也就删不掉了。
以下为该驱动服务的注册表截图
结束语
感觉这种加载方式很妙啊,防删操作也很妙啊。感觉把这个方式和其它的技术结合起来,会有意想不到的效果。强删的代码,也许需要更新一下了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-10-18 16:37
被Thead编辑
,原因:
|
|
|---|---|
