小知识：操作系统是由内核和外壳两部分组成的，内核运行于Ring0级别，拥有最完全最底层的管理功能，位于Ring0层的是系统核心模块和各种驱动程序模块。几乎所有指令都传递给内核，由它来决定是否执行，一旦发现有可能对系统造成破坏的指令，内核便返回一个“非法越权”标志，发送这个指令的程序就有可能被终止运行。

　　运用了Rootkit技术，流氓网站就可以拥有跟内核一样的运行级别，就能进入内核空间，这样它就拥有了和内核一样的访问权限，能对内核指令进行修改。所以你用单一的修复工具修复浏览器主页时，该指令在进入系统内核时会被运用了Rootkit技术的流氓网站拦截并窜改，这样指令就失去了作用，修复工具就不起作用了。9348和kuku530就是使用这种技术的代表。

　　原因2：走捆绑路线

　　为什么有的流氓网站频繁窜改主页，清除过后不久又会出现，老是清除不干净呢?这是因为，流氓网站除了使用Rootkit技术保护自己外，还有一种霸占浏览器主页的方式，就是捆绑方式。当某个程序运行时就激活了它们，它们就窜改了主页。这种方式的缺点是容易被修复，优点是无法彻底修复。

　　捆绑流氓网站的程序大多是经常要用到的，比如各种****、破解补丁、游戏客户端等。举一个例子，你在某个软件下载站下载了一个游戏****，当你运行游戏****时，嵌入游戏****里面的流氓网站就会对浏览器主页进行判断，如果主页不是自己就进行窜改，如果是自己则跳过。

　　除了常用程序，流氓网站还会与其他东西捆绑，例如操作系统(114la、tomatolei)、优化软件(930930)，更搞笑的是一些所谓的IE保护工具本身也会窜改主页。　

天使禁区电脑知识网:http://www.135cc.com