?《電腦報(bào)》提到了一個(gè)可以輕松穿越卡巴，瑞星，諾頓的主動(dòng)防御功能的免殺木馬：byshell。于是在網(wǎng)上搜，搜到byshell推廣版的說明是：可以穿越卡巴瑞星諾頓的默認(rèn)設(shè)置主動(dòng)防御。我就下了個(gè)推廣版回來試下微點(diǎn)能不能防，生成服務(wù)端后一運(yùn)行，微點(diǎn)沒有讓人失望，立刻報(bào)告說發(fā)現(xiàn)未知監(jiān)控軟件。本來還想試下遠(yuǎn)程監(jiān)控看看微點(diǎn)會(huì)不會(huì)提示有可疑程序訪問網(wǎng)絡(luò)之類的，因?yàn)樵趩挝簧习?#xff0c;還是放棄了念頭。

?BYshell的說明里說，高級(jí)版采用新內(nèi)核驅(qū)動(dòng)，可以輕松穿透 ZA 6/7版，麥咖啡安全套裝，麥咖啡8.5i 標(biāo)準(zhǔn)版，KIS 6 卡巴安全套裝(包括交互模式)，諾頓安全套裝2007，瑞星2007，小紅傘和趨勢(shì)2006 這些殺軟的高級(jí)別安全設(shè)置。不過里面沒提到微點(diǎn)，估計(jì)作者還沒把微點(diǎn)列入考慮范圍，如果微點(diǎn)的工程師有興趣不妨弄個(gè)高級(jí)版來研究下，看看是否真的那么牛 X。如果真能穿越這一大排知名殺軟卻被微點(diǎn)輕松拿下那就開心了。

　　如何清除能突破主動(dòng)防御的木馬

　　病人：我使用的殺毒軟件有主動(dòng)防御功能，能攔截木馬，可最近我的郵箱賬號(hào)還是被盜了，為什么會(huì)這樣?

　　醫(yī)生：這個(gè)其實(shí)也是很正常的，畢竟沒有一款殺毒軟件是萬能的，能夠阻止目前所有的惡意程序。你的電子信箱被盜很可能是被那種能突破主動(dòng)防御木馬，例如最新的ByShell木馬。這是一類新型木馬，其最大的特點(diǎn)就是可以輕松的突破殺毒軟件的主動(dòng)防御功能。

　　利用SSDT繞過主動(dòng)防御

　　病人：像ByShell這樣的木馬，它們是如何突破主動(dòng)防御的呢?

?醫(yī)生：最早黑客通過將系統(tǒng)日期更改到較早前的日期，這樣殺毒軟件就會(huì)自動(dòng)關(guān)閉所有監(jiān)控功能，當(dāng)然主動(dòng)防御功能也就自動(dòng)失去了防控能力。現(xiàn)在已經(jīng)有很多木馬不需要調(diào)整系統(tǒng)時(shí)間就可以成功突破主動(dòng)防御功能了。

Windows系統(tǒng)中有一個(gè)SSDT表，SSDT的全稱是System Services Descriptor Table，中文名稱為“系統(tǒng)服務(wù)描述符表”。這個(gè)表就是把應(yīng)用層指令傳輸給系統(tǒng)內(nèi)核的一個(gè)通道。

?而所有殺毒軟件的主動(dòng)防御功能都是通過修改SSDT表，讓惡意程序不能按照正常的情況來運(yùn)行，這樣就可以輕易的對(duì)惡意程序進(jìn)行攔截。如果你安裝了包括主動(dòng)防御功能的殺毒軟件，可以利用冰刃的SSDT功能來查看，就會(huì)發(fā)現(xiàn)有紅色標(biāo)注的被修改的SSDT表信息。

?而ByShel木馬通過對(duì)當(dāng)前系統(tǒng)的SSDT表進(jìn)行搜索，接著再搜索系統(tǒng)原來的使用的SSDT表，然后用以前的覆蓋現(xiàn)在的SSDT表。木馬程序則又可以按照正常的順序來執(zhí)行，這樣就最終讓主動(dòng)防御功能徹底的失效呢。

?小提示：Byshell采用國(guó)際領(lǐng)先的穿透技術(shù)，采用最新的內(nèi)核驅(qū)動(dòng)技術(shù)突破殺毒軟件的主動(dòng)防御。包括卡巴斯基、瑞星、趨勢(shì)、諾頓等國(guó)內(nèi)常見的殺毒軟件，以及這些殺毒軟件最新的相關(guān)版本，都可以被Byshell木馬成功的進(jìn)行突破。

?主動(dòng)防御類木馬巧清除

　　病人：我明白了這類木馬的原理了，但還是不知道怎么清除?

　　醫(yī)生：清除方法不難，和清除其他的木馬程序方法類似。下面我們以清除典型的ByShell木馬為例講解具體操作。

?第一步：首先運(yùn)行安全工具WSysCheck，點(diǎn)擊“進(jìn)程管理”標(biāo)簽可以看到多個(gè)粉紅色的進(jìn)程，這說明這些進(jìn)程都被插入了木馬的線程。點(diǎn)擊其中的為粉色的IE瀏覽器進(jìn)程，發(fā)現(xiàn)其中包括了一個(gè)可疑的木馬模塊hack.dll(圖1)。當(dāng)然有的時(shí)候黑客會(huì)設(shè)置其他名稱，這時(shí)我們只要看到?jīng)]有“文件廠商”信息的，就需要提高自己的警惕。

　　第二步：接著點(diǎn)擊程序的“服務(wù)管理”標(biāo)簽，同樣可以看到多個(gè)紅色的系統(tǒng)服務(wù)，這說明這些服務(wù)都不是系統(tǒng)自身的服務(wù)。經(jīng)過查看發(fā)現(xiàn)一個(gè)名為hack的服務(wù)較為可疑，因?yàn)樗拿Q和木馬模塊的名稱相同(圖2)。

　　同樣如果黑客自定義其他名稱的服務(wù)，則在“狀態(tài)”欄看到標(biāo)注為“未知”的服務(wù)，我們就要注意了，最好一一排查。

　　第三步：點(diǎn)擊程序的“文件管理”標(biāo)簽后，在模擬的資源管理器窗口中，按照可疑模塊的路徑指引，很快發(fā)現(xiàn)了那個(gè)可疑的木馬模塊文件hack.dll，與此同時(shí)還發(fā)現(xiàn)一個(gè)和模塊文件同名的可執(zhí)行文件(圖3)。看來這個(gè)木馬主要還是由這兩個(gè)文件組成的。

　　第四步：現(xiàn)在我們就開始進(jìn)行木馬的清除工作。在“進(jìn)程管理”中首先找到粉紅色I(xiàn)E瀏覽器進(jìn)程，選中它后通過鼠標(biāo)右鍵中的“結(jié)束這個(gè)進(jìn)程”命令清除它。接著點(diǎn)擊“服務(wù)管理”標(biāo)簽，選擇名為hack的服務(wù)后，點(diǎn)擊右鍵菜單中的“刪除選中的服務(wù)”命令來刪除。

　　再選擇程序中的“文件管理”標(biāo)簽，對(duì)木馬文件進(jìn)行最后的清除操作。在系統(tǒng)的system32目錄找到hack.dll和hack.exe文件后，點(diǎn)擊右鍵菜單中的“直接刪除文件”命令，完成對(duì)木馬的最后一擊。現(xiàn)在重新啟動(dòng)系統(tǒng)再進(jìn)行查看，確認(rèn)木馬中的被清除干凈呢。

　　第五步：由于木馬程序破壞了殺毒軟件在SSDT表中的內(nèi)容，因此大家最好利用軟件自帶的主動(dòng)修復(fù)功能來進(jìn)行修復(fù)，或者直接重新將殺毒軟件安裝一次即可。

　　總結(jié)

　　以前的木馬種植以前，黑客最重要的工作就是對(duì)其進(jìn)行免殺操作，這樣就可以躲過殺毒軟件的特征碼檢測(cè)。是黑客現(xiàn)在除了進(jìn)行基本的免殺外，還要想如何才能突破主動(dòng)防御的功能。不過已經(jīng)有木馬可以突破主動(dòng)防御，以后這類木馬也會(huì)越來越多，因此大家一定要加強(qiáng)自己的安全意識(shí)。


原文引用地址：http://tech.ddvip.com/2008-01/120094592640939.html

總結(jié)

以上是生活随笔為你收集整理的ByShell 一个穿越主动防御的木马的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。