怎么样清除能突破主动防御的新型木马

日期：2007年12月18日作者：查看:[大字体中字体小字体]

　　病人：我使用的杀毒软件有主动防御功能，能拦截木马，可最近我的邮箱账号还是被盗了，为什么会这样?

　　医生：这个其实也是很正常的，毕竟没有一款杀毒软件是万能的，能够阻止目前所有的恶意程序。你的电子信箱被盗很可能是被那种能突破主动防御木马，例如最新的ByShell木马。这是一类新型木马，其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。

　　利用SSDT绕过主动防御

　　病人：像ByShell这样的木马，它们是如何突破主动防御的呢?

　　医生：最早黑客通过将系统日期更改到较早前的日期，这样杀毒软件就会自动关闭所有监控功能，当然主动防御功能也就自动失去了防控能力。现在已经有很多木马不需要调整系统时间就可以成功突破主动防御功能了。

　　Windows系统中有一个SSDT表，SSDT的全称是System Services Descriptor Table，中文名称为“系统服务描述符表”。这个表就是把应用层指令传输给系统内核的一个通道。

　　而所有杀毒软件的主动防御功能都是通过修改SSDT表，让恶意程序不能按照正常的情况来运行，这样就可以轻易的对恶意程序进行拦截。如果你安装了包括主动防御功能的杀毒软件，可以利用冰刃的SSDT功能来查看，就会发现有红色标注的被修改的SSDT表信息。

　　而ByShel木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效呢。

　　小提示：Byshell采用国际领先的穿透技术，采用最新的内核驱动技术突破杀毒软件的主动防御。包括卡巴斯基、瑞星、趋势、诺顿等国内常见的杀毒软件，以及这些杀毒软件最新的相关版本，都可以被Byshell木马成功的进行突破。

　　主动防御类木马巧清除

　　病人：我明白了这类木马的原理了，但还是不知道怎么清除?

　　医生：清除方法不难，和清除其他的木马程序方法类似。下面我们以清除典型的ByShell木马为例讲解具体操作。

　　第一步：首先运行安全工具WSysCheck，点击“进程管理”标签可以看到多个粉红色的进程，这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll(图1)。当然有的时候黑客会设置其他名称，这时我们只要看到没有“文件厂商”信息的，就需要提高自己的警惕。

(图1)

　　第二步：接着点击程序的“服务管理”标签，同样可以看到多个红色的系统服务，这说明这些服务都不是系统自身的服务。经过查看发现一个名为hack的服务较为可疑，因为它的名称和木马模块的名称相同(图2)。

(图2)

　　同样如果黑客自定义其他名称的服务，则在“状态”栏看到标注为“未知”的服务，我们就要注意了，最好一一排查。
[1] [2] 下一页
怎么样清除能突破主动防御的新型木马相关文章：
·怎么样清除能突破主动防御的新型木马
·Sandboxie隔离病毒木马上网下载安装再无忧
·用木马取得远程电脑上QQ聊天纪录
·QQ盗号木马盗取帐号与重要信息
·分析并清除web服务器上的网页木马
·Windows Server 2003防木马权限设置
·安全杀手破坏安全软件并下载木马
·清除木马Dropper.Win32病毒的方法
·盗号木马禁用系统自更新和防火墙
·实战优化大师让木马无处藏身
怎么样清除能突破主动防御的新型木马相关软件
·《征途》反木马补丁包1.0
·编程学习案例 ASP木马程序
·计算机病毒与木马程序剖析
·ASP+.NET+无盘工作站+信息安全+病毒木马程序设计 PDF
·XP糸统守护神 exe 糸统修复糸统御载删除流氓软件杀木马
·a-squared Free (反木马流氓软件)绿色汉化版 V2.1.0.5
·QQ木马病毒专杀大师v8.6
·Windows木马清道夫v9.5
·Ewido Plus(防木马软件) ＋Ewido病毒库升级程序 V1.0v4.0.0.172B 汉化版
·木马杀客V2007 正式版

上一篇:巧用escape解决ASP.NET中URL传参乱码

下一篇:Windows Server 2008 RC1发布、下载

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

怎么样清除能突破主动防御的新型木马

精品推荐

热点TOP10

特别推荐