清除能突破主动防御的木马

毕竟没有一款杀毒软件是万能的，能够阻止目前所有的恶意程序。而能突破主动防御木马，例如最新的ByShell木马。这是一类新型木马，其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。

名词辨析: 木马程序是指潜伏在电脑中，受外部用户控制以窃取本机信息或者控制权的程序。; 特洛伊木马:在计算机领域中，特洛伊木马指的是一种后门程序。通常是黑客为了盗取其他用户的个人信息，甚至是远程控制对方计算机而加壳制作,然后通过各种手段骗取对方用户执行该程序，以达到盗取密码等资料。与病毒相似，木马程序有很强的隐秘性，随操作系统启动而启动。但不会自我复制，这一点和病毒程序不一样。

了解性知识

最早黑客通过将系统日期更改到较早前的日期，这样杀毒软件就会自动关闭所有监控功能，当然主动防御功能也就自动失去了防控能力。现在已经有很多木马不需要调整系统时间就可以成功突破主动防御功能了。

Windows系统中有一个SSDT表，SSDT的全称是System Services Descriptor Table，中文名称为“系统服务描述符表”。这个表就是把应用层指令传输给系统内核的一个通道。

而所有杀毒软件的主动防御功能都是通过修改SSDT表，让恶意程序不能按照正常的情况来运行，这样就可以轻易的对恶意程序进行拦截。如果你安装了包括主动防御功能的杀毒软件，可以利用冰刃的SSDT功能来查看，就会发现有红色标注的被修改的SSDT表信息。

>>>当您点击编辑本页标签时就可以编辑本文

而ByShel木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效呢。

Byshell采用国际领先的穿透技术，采用最新的内核驱动技术突破杀毒软件的主动防御。包括卡巴斯基、瑞星、趋势、诺顿等国内常见的杀毒软件，以及这些杀毒软件最新的相关版本，都可以被Byshell木马成功的进行突破。

清除方法不难，和清除其他的木马程序方法类似。下面我们以清除典型的ByShell木马为例讲解具体操作。

第一步：首先运行安全工具WSysCheck，点击“进程管理”标签可以看到多个粉红色的进程，这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。当然有的时候黑客会设置其他名称，这时我们只要看到没有“文件厂商”信息的，就需要提高自己的警惕。

第二步：接着点击程序的“服务管理”标签，同样可以看到多个红色的系统服务，这说明这些服务都不是系统自身的服务。经过查看发现一个名为hack的服务较为可疑，因为它的名称和木马模块的名称相同。

同样如果黑客自定义其他名称的服务，则在“状态”栏看到标注为“未知”的服务，我们就要注意了，最好一一排查。

第三步：点击程序的“文件管理”标签后，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件hack.dll，与此同时还发现一个和模块文件同名的可执行文件。看来这个木马主要还是由这两个文件组成的。

第四步：现在我们就开始进行木马的清除工作。在“进程管理”中首先找到粉红色IE浏览器进程，选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击“服务管理”标签，选择名为hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。

再选择程序中的“文件管理”标签，对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后，点击右键菜单中的“直接删除文件”命令，完成对木马的最后一击。现在重新启动系统再进行查看，确认木马中的被清除干净呢。

以前的木马种植以前，黑客最重要的工作就是对其进行免杀操作，这样就可以躲过杀毒软件的特征码检测。是黑客现在除了进行基本的免杀外，还要想如何才能突破主动防御的功能。不过已经有木马可以突破主动防御，以后这类木马也会越来越多，因此大家一定要加强自己的安全意识。 →更多相关内容请参见木马查杀

文章有待完善……（欢迎补充资料）

木马
木马专杀工具	木马查杀	木马预防	木马知识	木马感染	木马黑客	★→关于木马的所有文章