如何清除能突破主动防御的新型木马(图)

　　病人：我使用的杀毒软件有主动防御功能，能拦截木马，可最近我的邮箱账号还是被盗了，为什么会这样?

　　医生：这个其实也是很正常的，毕竟没有一款杀毒软件是万能的，能够阻止目前所有的恶意程序。你的电子信箱被盗很可能是被那种能突破主动防御木马，例如最新的ByShell木马。这是一类新型木马，其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。

　　利用SSDT绕过主动防御

　　病人：像ByShell这样的木马，它们是如何突破主动防御的呢?

　　医生：最早黑客通过将系统日期更改到较早前的日期，这样杀毒软件就会自动关闭所有监控功能，当然主动防御功能也就自动失去了防控能力。现在已经有很多木马不需要调整系统时间就可以成功突破主动防御功能了。

　　Windows系统中有一个SSDT表，SSDT的全称是System Services Descriptor Table，中文名称为“系统服务描述符表”。这个表就是把应用层指令传输给系统内核的一个通道。

　　而所有杀毒软件的主动防御功能都是通过修改SSDT表，让恶意程序不能按照正常的情况来运行，这样就可以轻易的对恶意程序进行拦截。如果你安装了包括主动防御功能的杀毒软件，可以利用冰刃的SSDT功能来查看，就会发现有红色标注的被修改的SSDT表信息。

　　而ByShel木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效呢。

　　小提示：Byshell采用国际领先的穿透技术，采用最新的内核驱动技术突破杀毒软件的主动防御。包括卡巴斯基、瑞星、趋势、诺顿等国内常见的杀毒软件，以及这些杀毒软件最新的相关版本，都可以被Byshell木马成功的进行突破。

　　主动防御类木马巧清除

　　病人：我明白了这类木马的原理了，但还是不知道怎么清除?

　　医生：清除方法不难，和清除其他的木马程序方法类似。下面我们以清除典型的ByShell木马为例讲解具体操作。

　　第一步：首先运行安全工具WSysCheck，点击“进程管理”标签可以看到多个粉红色的进程，这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll(图1)。当然有的时候黑客会设置其他名称，这时我们只要看到没有“文件厂商”信息的，就需要提高自己的警惕。

(图1)