如何清除能突破主動防御的新型木馬

　　病人：我使用的殺毒軟件有主動防御功能，能攔截木馬，可最近我的郵箱賬號還是被盜了，為什麼會這樣?

　　醫生：這個其實也是很正常的，畢竟沒有一款殺毒軟件是萬能的，能夠阻止目前所有的惡意程序。你的電子信箱被盜很可能是被那種能突破主動防御木馬，例如最新的ByShell木馬。這是一類新型木馬，其最大的特點就是可以輕松的突破殺毒軟件的主動防御功能。

　　利用SSDT繞過主動防御

　　病人：像ByShell這樣的木馬，它們是如何突破主動防御的呢?

　　醫生：最早黑客通過將系統日期更改到較早前的日期，這樣殺毒軟件就會自動關閉所有監控功能，當然主動防御功能也就自動失去了防控能力。現在已經有很多木馬不需要調整系統時間就可以成功突破主動防御功能了。

　　Windows系統中有一個SSDT表，SSDT的全稱是System Services Descriptor Table，中文名稱為“系統服務描述符表”。這個表就是把應用層指令傳輸給系統內核的一個通道。

　　而所有殺毒軟件的主動防御功能都是通過修改SSDT表，讓惡意程序不能按照正常的情況來運行，這樣就可以輕易的對惡意程序進行攔截。如果你安裝了包括主動防御功能的殺毒軟件，可以利用冰刃的SSDT功能來查看，就會發現有紅色標注的被修改的SSDT表信息。

　　而ByShel木馬通過對當前系統的SSDT表進行搜索，接著再搜索系統原來的使用的SSDT表，然後用以前的覆蓋現在的SSDT表。木馬程序則又可以按照正常的順序來執行，這樣就最終讓主動防御功能徹底的失效呢。

　　小提示：Byshell采用國際領先的穿透技術，采用最新的內核驅動技術突破殺毒軟件的主動防御。包括卡巴斯基、瑞星、趨勢、諾頓等國內常見的殺毒軟件，以及這些殺毒軟件最新的相關版本，都可以被Byshell木馬成功的進行突破。

　　主動防御類木馬巧清除

　　病人：我明白了這類木馬的原理了，但還是不知道怎麼清除?

　　醫生：清除方法不難，和清除其他的木馬程序方法類似。下面我們以清除典型的ByShell木馬為例講解具體操作。

　　第一步：首先運行安全工具WSysCheck，點擊“進程管理”標簽可以看到多個粉紅色的進程，這說明這些進程都被插入了木馬的線程。點擊其中的為粉色的IE浏覽器進程，發現其中包括了一個可疑的木馬模塊hack.dll(圖1)。當然有的時候黑客會設置其他名稱，這時我們只要看到沒有“文件廠商”信息的，就需要提高自己的警惕。

(圖1)

　　第二步：接著點擊程序的“服務管理”標簽，同樣可以看到多個紅色的系統服務，這說明這些服務都不是系統自身的服務。經過查看發現一個名為hack的服務較為可疑，因為它的名稱和木馬模塊的名稱相同(圖2)。

(圖2)

　　同樣如果黑客自定義其他名稱的服務，則在“狀態”欄看到標注為“未知”的服務，我們就要注意了，最好一一排查。

　　第三步：點擊程序的“文件管理”標簽後，在模擬的資源管理器窗口中，按照可疑模塊的路徑指引，很快發現了那個可疑的木馬模塊文件hack.dll，與此同時還發現一個和模塊文件同名的可執行文件(圖3)。看來這個木馬主要還是由這兩個文件組成的。

(圖3)

　　第四步：現在我們就開始進行木馬的清除工作。在“進程管理”中首先找到粉紅色IE浏覽器進程，選中它後通過鼠標右鍵中的“結束這個進程”命令清除它。接著點擊“服務管理”標簽，選擇名為hack的服務後，點擊右鍵菜單中的“刪除選中的服務”命令來刪除。

　　再選擇程序中的“文件管理”標簽，對木馬文件進行最後的清除操作。在系統的system32目錄找到hack.dll和hack.exe文件後，點擊右鍵菜單中的“直接刪除文件”命令(圖4)，完成對木馬的最後一擊。現在重新啟動系統再進行查看，確認木馬中的被清除干淨呢。

(圖4)

　　第五步：由於木馬程序破壞了殺毒軟件在SSDT表中的內容，因此大家最好利用軟件自帶的主動修復功能來進行修復，或者直接重新將殺毒軟件安裝一次即可。

　　總結

　　以前的木馬種植以前，黑客最重要的工作就是對其進行免殺操作，這樣就可以躲過殺毒軟件的特征碼檢測。是黑客現在除了進行基本的免殺外，還要想如何才能突破主動防御的功能。不過已經有木馬可以突破主動防御，以後這類木馬也會越來越多，因此大家一定要加強自己的安全意識。