在實(shí)際操作中你是否很渴望能找到有效清除能突破主動(dòng)防御的新型木馬的方法，我們的文章就是針對(duì)這一問(wèn)題給出的答案，此文是通過(guò)一問(wèn)一答的方式來(lái)引出其要表達(dá)的內(nèi)容，以下就是文章的主要內(nèi)容描述。

病人：我使用的殺毒軟件有主動(dòng)防御功能，能攔截木馬，可最近我的郵箱賬號(hào)還是被盜了，為什么會(huì)這樣?

醫(yī)生：這個(gè)其實(shí)也是很正常的，畢竟沒(méi)有一款殺毒軟件是萬(wàn)能的，能夠阻止目前所有的惡意程序。你的電子信箱被盜很可能是被那種能突破主動(dòng)防御木馬，例如最新的ByShell木馬。這是一類新型木馬，其最大的特點(diǎn)就是可以輕松的突破殺毒軟件的主動(dòng)防御功能。

利用SSDT繞過(guò)主動(dòng)防御

病人：像ByShell這樣的木馬，它們是如何突破主動(dòng)防御的呢?

醫(yī)生：最早黑客通過(guò)將系統(tǒng)日期更改到較早前的日期，這樣殺毒軟件就會(huì)自動(dòng)關(guān)閉所有監(jiān)控功能，當(dāng)然主動(dòng)防御功能也就自動(dòng)失去了防控能力?，F(xiàn)在已經(jīng)有很多木馬不需要調(diào)整系統(tǒng)時(shí)間就可以成功突破主動(dòng)防御功能了。

Windows系統(tǒng)中有一個(gè)SSDT表，SSDT的全稱是System Services Descriptor Table，中文名稱為“系統(tǒng)服務(wù)描述符表”。這個(gè)表就是把應(yīng)用層指令傳輸給系統(tǒng)內(nèi)核的一個(gè)通道。

而所有殺毒軟件的主動(dòng)防御功能都是通過(guò)修改SSDT表，讓惡意程序不能按照正常的情況來(lái)運(yùn)行，這樣就可以輕易的對(duì)惡意程序進(jìn)行攔截。如果你安裝了包括主動(dòng)防御功能的殺毒軟件，可以利用冰刃的SSDT功能來(lái)查看，就會(huì)發(fā)現(xiàn)有紅色標(biāo)注的被修改的SSDT表信息。

而B(niǎo)yShel木馬通過(guò)對(duì)當(dāng)前系統(tǒng)的SSDT表進(jìn)行搜索，接著再搜索系統(tǒng)原來(lái)的使用的SSDT表，然后用以前的覆蓋現(xiàn)在的SSDT表。木馬程序則又可以按照正常的順序來(lái)執(zhí)行，這樣就最終讓主動(dòng)防御功能徹底的失效呢。

小提示：Byshell采用國(guó)際領(lǐng)先的穿透技術(shù)，采用最新的內(nèi)核驅(qū)動(dòng)技術(shù)突破殺毒軟件的主動(dòng)防御。包括卡巴斯基、瑞星、趨勢(shì)、諾頓等國(guó)內(nèi)常見(jiàn)的殺毒軟件，以及這些殺毒軟件最新的相關(guān)版本，都可以被Byshell木馬成功的進(jìn)行突破。

主動(dòng)防御類木馬巧清除

病人：我明白了這類木馬的原理了，但還是不知道怎么清除?

醫(yī)生：清除方法不難，和清除其他的木馬程序方法類似。下面我們以清除典型的ByShell木馬為例講解具體操作。

第一步：首先運(yùn)行安全工具WSysCheck，點(diǎn)擊“進(jìn)程管理”標(biāo)簽可以看到多個(gè)粉紅色的進(jìn)程，這說(shuō)明這些進(jìn)程都被插入了木馬的線程。點(diǎn)擊其中的為粉色的IE瀏覽器進(jìn)程，發(fā)現(xiàn)其中包括了一個(gè)可疑的木馬模塊hack.dll(圖1)。當(dāng)然有的時(shí)候黑客會(huì)設(shè)置其他名稱，這時(shí)我們只要看到?jīng)]有“文件廠商”信息的，就需要提高自己的警惕。

【編輯推薦】

1. SQL注入攻擊成為新威脅將挑戰(zhàn)操作系統(tǒng)安全
2. SQL注入攻擊及其防范檢測(cè)技術(shù)研究
3. 有效預(yù)防SQL注入攻擊的六脈神劍
4. ScanSafe:近期3波SQL注入攻擊100萬(wàn)中國(guó)網(wǎng)站
5. 解析阻止或減輕SQL注入攻擊實(shí)用招數(shù)