恶意软件或者叫流氓软件，一个网民见之就火大的词,因为在看到这个词网民随即联想到的是卑鄙，无耻，充满敌意。关于这个不多说，只介绍两个词：hook和bho。

这篇文章主要从技术上说明其危害性，并且通过大量实验来证明中国网民电脑的“亚健康”状态值得所有人关注，更重要的是提供了完整删除这些软件的方法，非常适合流氓缠身的初级网民阅读。

hook

中文意思就是“钩子”的意思。这种函数是windows消息处理机制的一部分，通过设置“钩子”，应用程序可以在系统级对所有消息、事件进行过滤，访问在正常情况下无法访问的消息。当然，这么做也是需要付出一定的代价的。由于多了这么一道处理过程，系统性能会受到一定的影响，所以大家在必要的时候才使用“钩子”，并在使用完毕及时将其删除。用到 hook 的程序有：windows 界面修改程 序、视窗锁、网吧管理软件，当然，常见的少不了木马等程序。

bho

有时，你可能需要一个定制版本的浏览器。在这种情况下，你可以自由地把一些新颖但又不标准的特征增加到一个浏览器上。结果，你最终有的只是一个新但不标准的浏览器。web浏览器控件只是浏览器的分析引擎。这意味着仍然存在若干的与用户接口相关的工作等待你做——增加一个地址栏，工具栏，历史记录，状态栏，频道栏和收藏夹等。如此，要产生一个定制的浏览器，你可以进行两种类型的编程——一种象微软把web浏览器控件转变成一个功能齐全的浏览器如internet explorer。一种是在现有的基础上加一些新的功能。如果有一个直接的方法定制现有的internet explorer该多好？bho(browser helper objects，笔者译为“浏览器帮助者对象”，以下皆简称bho)正是用来实现此目的的。

bho对象依托于浏览器主窗口。实际上，这意味着一旦一个浏览器窗口产生，一个新的bho对象实例就要生成。任何bho对象与浏览器实例的生命周期是一致的。bho仅存在于internet explorer 4.0及以后版本中。如果你在使用microsoft windows 98、 windows 2000、 windows 95 or windows nt版本4.0 操作系统的话，也 就一块运行了活动桌面外壳4.71，bho也被windows资源管理器所支持。 bho是一个com进程内服务，注册于注册表中某一键下。在启动时，internet explorer查询那个键并把该键下的所有对象预以加载。

安装恶意软件和卸载实录

机器配置

cpu p4 2.66g

内存 512*2

主板 asus p5vd1-x

显卡 6600

安装恶意软件总数

本次安装软件的总数约有27种，用约这个词，因为对这个数字不确定，实在不知道什么时候又中了招中招。包括了目前网上共享、免费软件中捆绑的各种软件以及各个网站开发的ie工具条等等。

图1 笔者准备的软件

安装过程中这些软件99.9%都选择c盘为他们的最佳栖息地，而且有80%以上都将安装过程精简到了极致，两步甚至一步后，这个软件就已经在你的系统中驻扎下来了，在这其中唯有“酷客娱乐平台” 选择了d盘为他的老巢。

图2 酷客娱乐平台安装在了d盘

使用

在安装了近一半的恶意软件后,机器运行速度明显变得迟缓，开个ie主页也需40秒，透过任务管理器笔者们可以看到已经有的恶意软件开始进入进程了。

图3 安装后ie浏览器比较“壮观”

图4 安装后ie浏览器比较“壮观”（二）

图5 安装后ie浏览器比较“壮观”（三）

图6 任务管理器中的进程也比较壮观

图7 相当壮观的资源占用情况

安装了80%了的恶意软件后，机器运行速度进一步减慢，在google的工具栏中键入了一个关键词后按回车，这个页面立即出现假死现象，约5分钟后，搜索结果页面才出现，右键菜单也充斥了这些本着“为用户着想”的软件的快捷菜单。

图8 “体贴”的ie右键菜单

终于，ie扛不住，倒下了（图9）。