FSD INLINE HOOK 技术

忆年华

FSD INLINE HOOK 技术——LM软件的终极招数~  
   
    不知道论坛里有没有热衷于软件开发或者计算机爱好者的同僚...有的话可以给我联系(QQ:10006776 ),共同交流下...
    很多朋友相信对LM软件都有被SAO扰过的经历.有能力解决问题的估计都深恶痛绝...强制安装..难以清除..系统不稳定..等等..其很多LM软件都用了这个技术.
    这个帖子是06年年末时的一篇帖子..一直考虑帖还是不帖,衡量了一下.这个技术不老,可以帖.况且目前诸多LM软件目前依旧用的是这样的技术.这样的技术究竟神秘在哪里? 下面这篇短文相信可以让你了解他的作用和危害...

    最近，一个叫“FSD INLINE HOOK”的名词常常被提到，而且多数时候是和病毒、LM软件一起被提到。很多朋友搞不清楚，究竟什么是“FSD INLINE HOOK”呢？笔者就来详细介绍一下这个东东。
一、先讲讲车匪路霸
    在讲FSD INLINE HOOK之前，先来看看“车匪路霸”。所谓“车匪路霸”，就是在某条路上设一个点，对每个经过的车辆都“打劫一番”，“此路是我开，要过就留下买路钱”。甚至有时候他们打劫了你，还不放人过去，而让你原路折回。
    当然，还有一些车匪路霸更恐怖——他们直接将路截断，然后把路的开口处挖出一条经过自己设置的收费站的小道，然后在收费站的出口处再回到你应该走的大路上。你想到达目的地，必须先去绕小道去缴费，否则你无法到达目的地。
二、FSD INLINE HOOK是最狠的车匪路霸
HOOK就是操作系统中的“车匪路霸”，它最常用的手段就是进行数据过滤，跟要你“留下买路钱”一样。而FSD INLINE HOOK更狠，它使用更加特殊的手段，让程序以非正常流程运行，从而达到数据过滤的目的，就像上面描述的后面一种车匪路霸。
那么，到底FSD INLINE HOOK狠在哪里呢？
    其一，它的隐蔽性非常高，非专业人士很难发现它的存在。也就是说，这是一个非常具有“反侦破能力”的“车匪路霸”。本来程序员是可以用一种叫“FSD Filter Driver”（文件系统过滤驱动）的专用接口来代替它的，但正是因为这一接口容易被发现、饶过甚至是被摘除掉，所以他们才使用FSD INLINE HOOK的。
小提示：
    FSD Filter Driver是正常软件常用的技术，例如杀毒软件、文件加密、数据备份软件等。由于这些软件也会对系统进行一些底层操作，所以难免会用到这样的技术。这就跟公路上有“车匪路霸”，也有正规的“收费站”一样，同样是“收买路钱”，但一个是正当、有序的，一个却是乱来的。
    其二，它的稳定性差、危险性高。FSD INLINE HOOK对操作系统硬件平台、系统文件具有高度的依赖性，使得其异常危险。如果系统稍有变化可能就导致不兼容，使程序无法运行甚至直接导致系统崩溃（蓝屏）。在开发人员看来，这叫“稍错一个bit都会导致系统bsod（Blue Screen Of Death）。”
    正是由于FSD INLINE HOOK狠，LM软件开发者就很喜欢它。我们总结这两点可以看出，前一点是针对那些反LM软件的——隐蔽性强就意味着查杀起来相当困难；而后一点则是针对用户电脑的——如果你的系统发生一些变化（比如你想卸载掉LM软件），系统就会出现问题，甚至是蓝屏死机，这对用户的危害极大。
三、车匪路霸和它的同伙
    前面我们提了FSD INLINE HOOK，它具有隐蔽、手段狠毒、不稳定等特点，属于“黑社会性质”的车匪路霸。实际上它还有一个“同伙”，叫“函数地址替换”，不过这个显然比较温柔些，更安全，不容易引起BSOD。这个“函数地址替换”是LM软件经常用到的方法，很多大家很熟悉的LM软件都用到了这一技术。
    对比这两种技术，两者都可以改变用户的初衷，都不是“好鸟”，但他们还是有区别的：“函数地址替换”的隐蔽性比较差，它是一个函数组，任何人都可以用正常手段访问它，所以很容易就被检测工具检测出来了；而FSD INLINE HOOK则纯粹是一个非常危险的东西了，而且非常隐蔽。目前应用了FSD INLINE HOOK技术的LM软件非常少，而用到这一技术的病毒倒是挺多。
小提示：
    由于微软并没有对外公布FSD INLINE HOOK技术的任何接口文档说明，并明确告知开发者使用正规编程接口，因此，FSD INLINE HOOK很少被用在商业软件中，国内尚未有任何一款商业软件使用此技术。使用这种技术的多数都是病毒、木马、Rootkit程序等恶意软件，如MM@Rootkit.Drop.gy，I-Worm@MM.Trojan.Downloader.zp等。
四、第一个吃螃蟹的LM软件——CNNIC
    由于FSD INLINE HOOK太危险了，所以一般的“LM”不会采用该技术，最新版本的“CNNIC中文上网”已经第一次吃了螃蟹。所以很多中了招的用户电脑经常死机、蓝屏、反复重启。如果你试图去卸载它，会要求你输入复杂的“验证码”，但当你照实输入后，也无法卸载，或者干脆让你蓝屏。
可以说，“CNNIC中文上网”是目前最狠毒的LM软件，为了达到长期驻留用户电脑的目的，不惜采用这种病毒技术来对付反LM软件工具，笔者曾经试用过几款反LM软件，瑞星、金山均无法彻底查杀，只有360安全卫士能够完全卸载。

永恆の肆神

呵呵  了解更多 ~~~~  不过还是不太懂`````

忆年华

最近据说咖玛射线的机子习惯性BSOD.