[经济学]第二章-黑客攻击技术-恶意代码-2课件.ppt

1、计算机学院网络教研计算机学院网络教研室室12022-12-132.3 木马技术概述l特洛伊木马特洛伊木马(Trojan)是指隐藏在正常程序中是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击坏和删除文件、发送密码、记录键盘和攻击DoS等特殊功能的后门程序。等特殊功能的后门程序。l它与控制主机之间建立起连接，使得控制者它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照能够通过网络控制受害系统，通信遵照TCP/IP协议协议l最大的特征在于最大的特征在于隐秘性隐秘性，偷偷混入对方的主，偷偷混入对

2、方的主机里面，但是却没有被对方发现，系统表现机里面，但是却没有被对方发现，系统表现也正常像一个潜入敌方的也正常像一个潜入敌方的间谍间谍，计算机学院网络教研计算机学院网络教研室室22022-12-13v2007年金山病毒报告监测显示，木马攻击占当年金山病毒报告监测显示，木马攻击占当前网络病毒的前网络病毒的70%以上，已经成为当前网络危害以上，已经成为当前网络危害最严重的网络病毒，网络上各种种马技术加剧了最严重的网络病毒，网络上各种种马技术加剧了木马的流行和发展，木马的流行和发展，v由于木马控制了被植入者的计算机，它几乎可由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏程度非

3、常巨大以在被植入主机上为所欲为，破坏程度非常巨大v国家互联网应急中心国家互联网应急中心(CNCERT)在在2008 年上半年上半年抽样监测，境内外控制者利用木马控制端对主年抽样监测，境内外控制者利用木马控制端对主机进行控制的事件中，木马控制端机进行控制的事件中，木马控制端IP 地址总数为地址总数为280068 个，被控制端个，被控制端IP 地址总数为地址总数为1485868 个个计算机学院网络教研计算机学院网络教研室室32022-12-13计算机学院网络教研计算机学院网络教研室室42022-12-13计算机学院网络教研计算机学院网络教研室室52022-12-13木马发展历史木马发展历史v第一代

4、木马出现在网络发展的早期，以窃取网第一代木马出现在网络发展的早期，以窃取网络密码为主要任务，这种木马通过伪装成一个合络密码为主要任务，这种木马通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木法性程序诱骗用户上当。世界上第一个计算机木马是出现在马是出现在1986年的年的PC-Write木马。木马。v第二代木马在技术上有了很大的进步，它使用第二代木马在技术上有了很大的进步，它使用标准的标准的CS/架构，提供远程文件管理、屏幕监视架构，提供远程文件管理、屏幕监视等功能，在在隐藏、自启动和操纵服务器等技术等功能，在在隐藏、自启动和操纵服务器等技术上也有很大的发展。上也有很大的发展。计算机学院

5、网络教研计算机学院网络教研室室62022-12-13v第三代木马在功能上与第二代木马没有太大差异，隐蔽第三代木马在功能上与第二代木马没有太大差异，隐蔽开放端口，如使用开放端口，如使用ICMP通信协议进行通信，使用通信协议进行通信，使用TCP端端口反弹技术让服务器端主动连接客户端。口反弹技术让服务器端主动连接客户端。v第四代木马在进程隐藏方面做了大改动，让木马服务器第四代木马在进程隐藏方面做了大改动，让木马服务器运行时没有进程，网络操作插入到系统进程或者应用进运行时没有进程，网络操作插入到系统进程或者应用进程中完成。典型如采用利用远程插入线程技术嵌入程中完成。典型如采用利用远程插入线程技术嵌入D

6、LL线程，另外如线程，另外如rootkit技术技术v第五代木马实现了与病毒紧密结合，利用操作系统漏洞，第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。要欺骗用户主动激活。计算机学院网络教研计算机学院网络教研室室72022-12-132.3.2 木马的实现原理与攻击技术木马的实现原理与攻击技术 v木马欺骗技术：木马欺骗技术：木马欺骗用户安装、欺骗用木马欺骗用户安装、欺骗用户运行以及隐藏自己防治被发现关键技术户运行以及隐藏自己防治被发现关键技术l冒充为图像文件冒充为图像文件 l合并

7、程序欺骗合并程序欺骗 l插入其它文件内部插入其它文件内部 l伪装成应用程序扩展组件伪装成应用程序扩展组件 l利用利用WinRar制作成自释放文件制作成自释放文件 l在在Word文档中加入木马文件文档中加入木马文件 计算机学院网络教研计算机学院网络教研室室82022-12-13攻击步骤攻击步骤一个木马程序要通过网络入侵并控制被植一个木马程序要通过网络入侵并控制被植入的电脑，需要采用以下四个环节：入的电脑，需要采用以下四个环节：l首先是向目标主机植入木马，也就是当前流首先是向目标主机植入木马，也就是当前流行的行的“种马种马”技术，通过网络将木马程序植技术，通过网络将木马程序植入到被控制的电脑入到被

8、控制的电脑 l启动和隐藏木马启动和隐藏木马 l服务器端（目标主机）和客户端建立连接，服务器端（目标主机）和客户端建立连接，l通知植入者，并被进行远程控制电脑，通知植入者，并被进行远程控制电脑，计算机学院网络教研计算机学院网络教研室室92022-12-13植入技术植入技术 木马植入技术可以大概分为主动植入与被木马植入技术可以大概分为主动植入与被动植入两类。动植入两类。l主动植入，就是攻击者利用网络攻击技术通主动植入，就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机上，过网络将木马程序植入到远程目标主机上，这个行为过程完全由攻击者主动掌握。这个行为过程完全由攻击者主动掌握。l被动植入

9、，是指攻击者预先设置某种环境，被动植入，是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能的操然后被动等待目标系统用户的某种可能的操作，只有这种操作执行，木马程序才有可能作，只有这种操作执行，木马程序才有可能植入目标系统。植入目标系统。计算机学院网络教研计算机学院网络教研室室102022-12-13主动植入技术主动植入技术 l利用系统自身漏洞植入利用系统自身漏洞植入l利用第三方软件漏洞植入利用第三方软件漏洞植入l利用通信软件发送伪装的木马文件植入利用通信软件发送伪装的木马文件植入l利用电子邮件发送植入木马利用电子邮件发送植入木马 计算机学院网络教研计算机学院网络教研室室112022

10、-12-13被动植入被动植入 l软件下载软件下载l 利用共享文件利用共享文件l利用利用Autorun文件传播文件传播l网页浏览传播：这种方法利用网页浏览传播：这种方法利用Script/ActiveX控件、控件、/JavaApplet等技术编等技术编写出一个写出一个HTML网页，当我们浏览该页面时，网页，当我们浏览该页面时，会在后台将木马程序下载到计算机缓存中会在后台将木马程序下载到计算机缓存中 计算机学院网络教研计算机学院网络教研室室122022-12-13木马的自动加载技术木马的自动加载技术 v修改系统文件修改系统文件v修改系统注册表修改系统注册表v修改文件打开关联修改文件打开关联v修改任务

11、计划修改任务计划v修改组策略修改组策略 命令：命令：gpedit.mscv修改启动文件夹修改启动文件夹v替换系统自动运行的文件替换系统自动运行的文件 v替换系统替换系统DLLv作为服务启动作为服务启动计算机学院网络教研计算机学院网络教研室室132022-12-13木马隐藏技术木马隐藏技术 木马植入目标系统后，为了提高自身的生木马植入目标系统后，为了提高自身的生存能力，木马会采用各种手段伪装隐藏以存能力，木马会采用各种手段伪装隐藏以使被感染的系统表现正常，避免被发现，使被感染的系统表现正常，避免被发现，尽可能延长生存期。对于隐藏技术，主要尽可能延长生存期。对于隐藏技术，主要分为两类：主机保存隐藏

12、和通信过程隐藏。分为两类：主机保存隐藏和通信过程隐藏。计算机学院网络教研计算机学院网络教研室室142022-12-13主机隐藏主机隐藏主机隐藏主要是指在主机系统上表现为正主机隐藏主要是指在主机系统上表现为正常的进程，使被植入者无法感觉到木马的常的进程，使被植入者无法感觉到木马的存在，甚至即使发现进程，利用欺骗等技存在，甚至即使发现进程，利用欺骗等技术，也不敢删除。术，也不敢删除。l一种采用欺骗的方式伪装成其他文件一种采用欺骗的方式伪装成其他文件 l是伪装成系统文件是伪装成系统文件 计算机学院网络教研计算机学院网络教研室室152022-12-13进程隐藏进程隐藏进程隐藏则存在以下技术，对于那些单

13、独进程隐藏则存在以下技术，对于那些单独存在的木马进程，可以注册为一个服务，存在的木马进程，可以注册为一个服务，这样在任务管理器中就无法看到。另外隐这样在任务管理器中就无法看到。另外隐藏就是不以单独的进程出现，有以下技术藏就是不以单独的进程出现，有以下技术 l动态链接库注入技术动态链接库注入技术 lHooking API技术技术 计算机学院网络教研计算机学院网络教研室室162022-12-13通信隐藏通信隐藏通信隐藏通信隐藏 l复用正常服务端口复用正常服务端口 l采用其他不需要开放端口的协议进行通信采用其他不需要开放端口的协议进行通信 l利用利用“反弹端口反弹端口”技术技术 l采用嗅探技术采用嗅

14、探技术 计算机学院网络教研计算机学院网络教研室室172022-12-13远程控制远程控制如何得到被种马的主机地址如何得到被种马的主机地址l端口扫描端口扫描 l邮件发送邮件发送lUDP通知通知 l利用利用qq、msn等通信软件等通信软件 计算机学院网络教研计算机学院网络教研室室182022-12-13木马的破坏方式木马的破坏方式v 窃取密码窃取密码v 远程访问控制远程访问控制v DoS攻击攻击v 代理攻击代理攻击v 程序杀手程序杀手计算机学院网络教研计算机学院网络教研室室192022-12-13冰河木马冰河木马 冰河木马包括两个可运行程序，服务器端程序冰河木马包括两个可运行程序，服务器端程序G-

15、server.exe和客户端程序和客户端程序G-client.exe，默认连接，默认连接端口为端口为7626。一旦运行。一旦运行G-server，那么该程序就，那么该程序就会在会在C:WindowsSystem目录下生成目录下生成Kernel32.exe和和Sysexplr.exe，并删除自身。，并删除自身。Kernel32.exe在系在系统启动时自动加载运行，统启动时自动加载运行，Sysexplr.exe和和TXT文文件关联。即使删除了件关联。即使删除了Kernel32.exe，但只要打开，但只要打开TXT文件，文件，Sysexplr.exe就会被激活，它将再次就会被激活，它将再次生成生成K

16、ernel32.exe，计算机学院网络教研计算机学院网络教研室室202022-12-13客户端对被植入主机的控制客户端对被植入主机的控制客户端对被植入主机的控制主要包括以下方面：客户端对被植入主机的控制主要包括以下方面：l自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。（局域网适用）。l 记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多记录各种口令信息

17、：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。数在对话框中出现过的口令信息。l 获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。l 限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。及锁定注册表等多项功能限制。l 远程文件操作：包括创建、上传、下载、复制、删除

18、文件或目录、文件压缩、远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四种不同的打开方式快速浏览文本文件、远程打开文件（提供了四种不同的打开方式正常方正常方式、最大化、最小化和隐藏方式）等多项文件操作功能。式、最大化、最小化和隐藏方式）等多项文件操作功能。l 注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。有注册表操作功能。l 发送信息：以四种常用图标向被控端发送简短信息。发送信息：以四种常用图标向被控端发送简短信息。l 点对点通讯：以

19、聊天室形式同被控端进行在线交谈。点对点通讯：以聊天室形式同被控端进行在线交谈。计算机学院网络教研计算机学院网络教研室室212022-12-132.3.4 木马的防御v扫描端口扫描端口l木马服务器端可能会在系统中监听某个端口，木马服务器端可能会在系统中监听某个端口，因此，通过查看系统上开启了那些端口能有因此，通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。效地发现远程控制木马的踪迹。v检查运行进程检查运行进程l很多木马在运行期间都会在系统中生成进程。很多木马在运行期间都会在系统中生成进程。因此，检查进程是一种非常有效的发现木马因此，检查进程是一种非常有效的发现木马踪迹方法。踪迹方法。

20、工具：工具：procexp.exe 计算机学院网络教研计算机学院网络教研室室222022-12-13木马的防御-2检查检查ini文件、注册表和服务等自启动项文件、注册表和服务等自启动项 l让木马程序自动启动，是其攻击的必备条件。让木马程序自动启动，是其攻击的必备条件。Windows能够让程序自启动的地方很多，如果要手能够让程序自启动的地方很多，如果要手工一一查看，不仅麻烦而且可能会漏掉许多启动项。工一一查看，不仅麻烦而且可能会漏掉许多启动项。而自启动项管理软件而自启动项管理软件Autoruns是这一方面的专业工是这一方面的专业工具具 监视网络通讯监视网络通讯 l对于一些特殊的木马程序对于一些特

21、殊的木马程序(如通过如通过ICMP协议通信协议通信)，被控端不需要打开任何监听端口，也无需反向连接，被控端不需要打开任何监听端口，也无需反向连接，更不会有什么已经建立的固定连接，木马的通信监更不会有什么已经建立的固定连接，木马的通信监控可以通过防火墙来监控，控可以通过防火墙来监控，计算机学院网络教研计算机学院网络教研室室232022-12-13几款免费的木马专杀工具冰刃冰刃(Icesword)是专业查杀木马工具中较好是专业查杀木马工具中较好的工具之一的工具之一 特点特点l强力删除文件强力删除文件 l删除注册表项删除注册表项 l终止任意的进程终止任意的进程 l查看进程通信情况查看进程通信情况 l

22、查看消息钩子查看消息钩子 l线程创建和线程终止监视线程创建和线程终止监视 计算机学院网络教研计算机学院网络教研室室242022-12-13冰刃冰刃计算机学院网络教研计算机学院网络教研室室252022-12-13几款免费的木马专杀工具vWindows清理助手。清理助手。Windows清理助手（清理助手（ARSwp）发）发布于布于2006年年10月，运行于月，运行于Windows 2000以上平台，是一以上平台，是一款用户拥有完全控制权的款用户拥有完全控制权的Windows清理工具。清理工具。v恶意软件清理助手恶意软件清理助手 vAtool软件。它是木马专杀厂商提供的一款免费的、向软件。它是木马专

23、杀厂商提供的一款免费的、向高级用户群体设计的专业系统安全检测及辅助处置工具，高级用户群体设计的专业系统安全检测及辅助处置工具，其界面类似于冰刃。其界面类似于冰刃。vWindows恶意软件删除工具恶意软件删除工具(mrt.exe)。是。是Microsoft所提所提供的的一个免费的，删除恶意软件使用工具，并由供的的一个免费的，删除恶意软件使用工具，并由Microsoft定期公布其更新版本定期公布其更新版本 计算机学院网络教研计算机学院网络教研室室262022-12-132.4 网络钓鱼网络钓鱼 网络钓鱼是通过发送声称来自于银行或其网络钓鱼是通过发送声称来自于银行或其它知名机构的欺骗性垃圾邮件，或者

24、伪装它知名机构的欺骗性垃圾邮件，或者伪装成其成其Web站点，意图引诱收信人或网站浏站点，意图引诱收信人或网站浏览者给出敏感信息（如用户名、口令、帐览者给出敏感信息（如用户名、口令、帐号号 ID、ATM PIN 码或信用卡详细信息）码或信用卡详细信息）的一种攻击方式。网络钓鱼的一种攻击方式。网络钓鱼(Phishing)一词，一词，是是“Fishing”和和“Phone”的综合体。的综合体。计算机学院网络教研计算机学院网络教研室室272022-12-13网络钓鱼的攻击方法网络钓鱼的攻击方法 v建立假冒网上银行、网上证券的网站，骗取用建立假冒网上银行、网上证券的网站，骗取用户帐号密码实施盗窃户帐号密

25、码实施盗窃 l如假冒中国银行如假冒中国银行n 假：假：www.bank-off-，n 真真 www.bank-of-l中国工商银行中国工商银行n 假假 ，n 真真l中国农业银行中国农业银行n假假 n 真真 计算机学院网络教研计算机学院网络教研室室282022-12-13网络钓鱼的攻击方法网络钓鱼的攻击方法-2发送电子邮件，以虚假信息引诱用户中圈套发送电子邮件，以虚假信息引诱用户中圈套 l攻击者以垃圾邮件的形式大量发送欺诈性邮件，这攻击者以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种

26、紧迫的理由件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。号、信用卡号等信息，继而盗窃用户资金。利用虚假的电子商务网站利用虚假的电子商务网站l建立虚假电子商务网站，或是在比较知名、大型的建立虚假电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，电子商务网站上发布虚假的商品销售信息，计算机学院网络教研计算机学院网络教研室室292022-12-13计算机学院网络教研计算机学院网络教研室室302022-12-13计算机学院网络教研计算机学院网络教研室室31

27、2022-12-13利用知名软件如利用知名软件如QQ、MSN等欺骗用户等欺骗用户，最多中奖信息如：最多中奖信息如：http:/www.qq- v对于被假冒的网站对于被假冒的网站 l需要加大制作网站的难度，使欺骗者难以模需要加大制作网站的难度，使欺骗者难以模仿。仿。l改变网站域名，使之变成既容易记住，又不改变网站域名，使之变成既容易记住，又不容易被仿造得域名地址。容易被仿造得域名地址。计算机学院网络教研计算机学院网络教研室室332022-12-13v用户端，可以采用以下措施用户端，可以采用以下措施 l尽量不通过链接打开网页，而是直接输入域尽量不通过链接打开网页，而是直接输入域名访问网络名访问网络

28、 l对于需要输入帐号和密码的网站再三确认，对于需要输入帐号和密码的网站再三确认，可以使用多个搜索引擎搜索该网站的域名可以使用多个搜索引擎搜索该网站的域名 l给网络浏览器程序安装补丁，使其补丁保持给网络浏览器程序安装补丁，使其补丁保持在最新状态在最新状态 l利用已有的防病毒软件，实时防御钓鱼网站利用已有的防病毒软件，实时防御钓鱼网站(建立仿冒网站库建立仿冒网站库)计算机学院网络教研计算机学院网络教研室室342022-12-135.5浏览器劫持浏览器劫持 浏览器劫持是网页浏览器（浏览器劫持是网页浏览器（IE等）被恶意程序修等）被恶意程序修改的一种行为，恶意软件通过浏览器插件（改的一种行为，恶意软件

29、通过浏览器插件（IE常常为为DLL文件）、浏览器辅助对象文件）、浏览器辅助对象(Browser Help Objects BHO）、）、Winsock LSP等形式对用户的等形式对用户的浏览器进行篡改，通过操纵浏览器的行为，可以浏览器进行篡改，通过操纵浏览器的行为，可以使用户浏览器转移到特定网站，取得商业利益，使用户浏览器转移到特定网站，取得商业利益，或者在用户计算机端收集敏感信息，危及用户隐或者在用户计算机端收集敏感信息，危及用户隐私安全私安全 计算机学院网络教研计算机学院网络教研室室352022-12-13实现方法实现方法v浏览器辅助对象实现浏览器劫持。浏览器辅助对象实现浏览器劫持。lBH

30、O是微软推出浏览器对第三方程序开放是微软推出浏览器对第三方程序开放交互接口的业界标准，通过简单的代码就可交互接口的业界标准，通过简单的代码就可以进入浏览器领域的以进入浏览器领域的“交互接口交互接口”。v利用利用HOOK钩子钩子 lIE钩子程序载入进程后，能够获得所有的钩子程序载入进程后，能够获得所有的IE浏览器的内容，一旦发现某个符合要求的浏览器的内容，一旦发现某个符合要求的消息，钩子的处理代码就先拦截系统发送给消息，钩子的处理代码就先拦截系统发送给IE的消息根据不同消息内容作出修改后再发的消息根据不同消息内容作出修改后再发给给IE计算机学院网络教研计算机学院网络教研室室362022-12-1

31、3v利用利用Winsock 2 SPI 包过滤技术包过滤技术(Service Provider Interface，SPI）lWinsock 2 SPI是一个接口，它可以拦截所是一个接口，它可以拦截所有基于有基于Sock通信的网络数据通信的网络数据 计算机学院网络教研计算机学院网络教研室室372022-12-13浏览器劫持的防御方法浏览器劫持的防御方法 v直接使用直接使用IE浏览器的管理加载项，禁用浏览器的管理加载项，禁用恶意的加载项。恶意的加载项。v使用专用工具卸载恶意插件，如安全卫使用专用工具卸载恶意插件，如安全卫士士360、超级兔子等。、超级兔子等。v专用工具查看是否有恶意的专用工具查看

32、是否有恶意的SPI，如冰刃，如冰刃IceSword.exe。计算机学院网络教研计算机学院网络教研室室382022-12-13流氓软件流氓软件 v流氓软件是介于流氓软件是介于病毒病毒和和正规软件正规软件之间的软件。之间的软件。“流氓软件流氓软件”介于两者之间，同时具备正常功能介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来危害。后门），给用户带来危害。v其特点是：它具有一定的实用价值，一般是为其特点是：它具有一定的实用价值，一般是为方便用户使用计算机工作、娱乐而开发，面向社方便用户使用计算机工作、娱乐而开发，面向

33、社会公众公开发布的软件，并且一般是免费的，不会公众公开发布的软件，并且一般是免费的，不属于正规的商业软件；同时也具有恶意软件的种属于正规的商业软件；同时也具有恶意软件的种种特征，给用户带来一定危害。种特征，给用户带来一定危害。计算机学院网络教研计算机学院网络教研室室392022-12-13流氓软件有以下特征流氓软件有以下特征 v强制安装强制安装。流氓软件一般通过与其它常用软件捆绑在一。流氓软件一般通过与其它常用软件捆绑在一起，强行安装到用户计算机中。起，强行安装到用户计算机中。v难以删除难以删除，或者无法彻底删除。未提供通用的卸载方式，或者无法彻底删除。未提供通用的卸载方式，或卸载后仍然有活动程序的行为；这种特征或卸载后仍然有活动程序的行为；这种特征3721最为知最为知名。名。v广告弹出广告弹出。在未明确提示用户或未经用户许可的情况下，。在未明确提示用户或未经用户许可的情况下，在用户计算机或其它终端上弹出广告的行为。在用户计算机或其它终端上弹出广告的行为。v恶意收集用户信息恶意收集用户信息。指未明确提示用户或未经用户许可，。指未明确提示用户或未经用户许可，恶意收集用户信息的行为。恶意收集用户信息的行为。v其它侵犯用户知情权其它侵犯用户知情权.选择权的恶意行为选择权的恶意行为