我使用的殺毒軟件有主動(dòng)防御功能，能攔截木馬，可最近我的郵箱賬號(hào)還是被盜了，為什么會(huì)這樣?

　　這個(gè)其實(shí)也是很正常的，畢竟沒有一款殺毒軟件是萬能的，能夠阻止目前所有的惡意程序。你的電子信箱被盜很可能是被那種能突破主動(dòng)防御木馬，例如最新的ByShell木馬。這是一類新型木馬，其最大的特點(diǎn)就是可以輕松的突破殺毒軟件的主動(dòng)防御功能。

　　利用SSDT繞過主動(dòng)防御

　　像ByShell這樣的木馬，它們是如何突破主動(dòng)防御的呢?

　　最早黑客通過將系統(tǒng)日期更改到較早前的日期，這樣殺毒軟件就會(huì)自動(dòng)關(guān)閉所有監(jiān)控功能，當(dāng)然主動(dòng)防御功能也就自動(dòng)失去了防控能力。現(xiàn)在已經(jīng)有很多木馬不需要調(diào)整系統(tǒng)時(shí)間就可以成功突破主動(dòng)防御功能了。

　　Windows系統(tǒng)中有一個(gè)SSDT表，SSDT的全稱是System Services Descriptor Table，中文名稱為“系統(tǒng)服務(wù)描述符表”。這個(gè)表就是把應(yīng)用層指令傳輸給系統(tǒng)內(nèi)核的一個(gè)通道。

　　而所有殺毒軟件的主動(dòng)防御功能都是通過修改SSDT表，讓惡意程序不能按照正常的情況來運(yùn)行，這樣就可以輕易的對惡意程序進(jìn)行攔截。如果你安裝了包括主動(dòng)防御功能的殺毒軟件，可以利用冰刃的SSDT功能來查看，就會(huì)發(fā)現(xiàn)有紅色標(biāo)注的被修改的SSDT表信息。

　　而ByShel木馬通過對當(dāng)前系統(tǒng)的SSDT表進(jìn)行搜索，接著再搜索系統(tǒng)原來的使用的SSDT表，然后用以前的覆蓋現(xiàn)在的SSDT表。木馬程序則又可以按照正常的順序來執(zhí)行，這樣就最終讓主動(dòng)防御功能徹底的失效呢。

　　小提示：Byshell采用國際領(lǐng)先的穿透技術(shù)，采用最新的內(nèi)核驅(qū)動(dòng)技術(shù)突破殺毒軟件的主動(dòng)防御。包括卡巴斯基、瑞星、趨勢、諾頓等國內(nèi)常見的殺毒軟件，以及這些殺毒軟件最新的相關(guān)版本，都可以被Byshell木馬成功的進(jìn)行突破。

    主動(dòng)防御類木馬巧清除

　　我明白了這類木馬的原理了，但還是不知道怎么清除?

　　清除方法不難，和清除其他的木馬程序方法類似。下面我們以清除典型的ByShell木馬為例講解具體操作。

　　第一步：首先運(yùn)行安全工具WSysCheck，點(diǎn)擊“進(jìn)程管理”標(biāo)簽可以看到多個(gè)粉紅色的進(jìn)程，這說明這些進(jìn)程都被插入了木馬的線程。點(diǎn)擊其中的為粉色的IE瀏覽器進(jìn)程，發(fā)現(xiàn)其中包括了一個(gè)可疑的木馬模塊hack.dll。當(dāng)然有的時(shí)候黑客會(huì)設(shè)置其他名稱，這時(shí)我們只要看到?jīng)]有“文件廠商”信息的，就需要提高自己的警惕。

    第二步：接著點(diǎn)擊程序的“服務(wù)管理”標(biāo)簽，同樣可以看到多個(gè)紅色的系統(tǒng)服務(wù)，這說明這些服務(wù)都不是系統(tǒng)自身的服務(wù)。經(jīng)過查看發(fā)現(xiàn)一個(gè)名為hack的服務(wù)較為可疑，因?yàn)樗拿Q和木馬模塊的名稱相同。

　　同樣如果黑客自定義其他名稱的服務(wù)，則在“狀態(tài)”欄看到標(biāo)注為“未知”的服務(wù)，我們就要注意了，最好一一排查。

　　第三步：點(diǎn)擊程序的“文件管理”標(biāo)簽后，在模擬的資源管理器窗口中，按照可疑模塊的路徑指引，很快發(fā)現(xiàn)了那個(gè)可疑的木馬模塊文件hack.dll，與此同時(shí)還發(fā)現(xiàn)一個(gè)和模塊文件同名的可執(zhí)行文件。

    第四步：現(xiàn)在我們就開始進(jìn)行木馬的清除工作。在“進(jìn)程管理”中首先找到粉紅色I(xiàn)E瀏覽器進(jìn)程，選中它后通過鼠標(biāo)右鍵中的“結(jié)束這個(gè)進(jìn)程”命令清除它。接著點(diǎn)擊“服務(wù)管理”標(biāo)簽，選擇名為hack的服務(wù)后，點(diǎn)擊右鍵菜單中的“刪除選中的服務(wù)”命令來刪除。

　　再選擇程序中的“文件管理”標(biāo)簽，對木馬文件進(jìn)行最后的清除操作。在系統(tǒng)的system32目錄找到hack.dll和hack.exe文件后，點(diǎn)擊右鍵菜單中的“直接刪除文件”命令，完成對木馬的最后一擊。現(xiàn)在重新啟動(dòng)系統(tǒng)再進(jìn)行查看，確認(rèn)木馬中的被清除干凈呢。

　　第五步：由于木馬程序破壞了殺毒軟件在SSDT表中的內(nèi)容，因此大家最好利用軟件自帶的主動(dòng)修復(fù)功能來進(jìn)行修復(fù)，或者直接重新將殺毒軟件安裝一次即可。

　　總結(jié)

　　以前的木馬種植以前，黑客最重要的工作就是對其進(jìn)行免殺操作，這樣就可以躲過殺毒軟件的特征碼檢測。是黑客現(xiàn)在除了進(jìn)行基本的免殺外，還要想如何才能突破主動(dòng)防御的功能。不過已經(jīng)有木馬可以突破主動(dòng)防御，以后這類木馬也會(huì)越來越多，因此大家一定要加強(qiáng)自己的安全意識(shí)。