在實際操作中你是否很渴望能找到有效清除能突破主動防御的新型木馬的方法，我們的文章就是針對這一問題給出的答案，此文是通過一問一答的方式來引出其要表達的內容，以下就是文章的主要內容描述。

病人：我使用的殺毒軟件有主動防御功能，能攔截木馬，可最近我的郵箱賬號還是被盜了，為什么會這樣?

醫生：這個其實也是很正常的，畢竟沒有一款殺毒軟件是萬能的，能夠阻止目前所有的惡意程序。你的電子信箱被盜很可能是被那種能突破主動防御木馬，例如最新的ByShell木馬。這是一類新型木馬，其最大的特點就是可以輕松的突破殺毒軟件的主動防御功能。

利用SSDT繞過主動防御

病人：像ByShell這樣的木馬，它們是如何突破主動防御的呢?

醫生：最早黑客通過將系統日期更改到較早前的日期，這樣殺毒軟件就會自動關閉所有監控功能，當然主動防御功能也就自動失去了防控能力。現在已經有很多木馬不需要調整系統時間就可以成功突破主動防御功能了。

Windows系統中有一個SSDT表，SSDT的全稱是System Services Descriptor Table，中文名稱為“系統服務描述符表”。這個表就是把應用層指令傳輸給系統內核的一個通道。

而所有殺毒軟件的主動防御功能都是通過修改SSDT表，讓惡意程序不能按照正常的情況來運行，這樣就可以輕易的對惡意程序進行攔截。如果你安裝了包括主動防御功能的殺毒軟件，可以利用冰刃的SSDT功能來查看，就會發現有紅色標注的被修改的SSDT表信息。

而ByShel木馬通過對當前系統的SSDT表進行搜索，接著再搜索系統原來的使用的SSDT表，然后用以前的覆蓋現在的SSDT表。木馬程序則又可以按照正常的順序來執行，這樣就最終讓主動防御功能徹底的失效呢。

小提示：Byshell采用國際領先的穿透技術，采用最新的內核驅動技術突破殺毒軟件的主動防御。包括卡巴斯基、瑞星、趨勢、諾頓等國內常見的殺毒軟件，以及這些殺毒軟件最新的相關版本，都可以被Byshell木馬成功的進行突破。

主動防御類木馬巧清除

病人：我明白了這類木馬的原理了，但還是不知道怎么清除?

醫生：清除方法不難，和清除其他的木馬程序方法類似。下面我們以清除典型的ByShell木馬為例講解具體操作。

第一步：首先運行安全工具WSysCheck，點擊“進程管理”標簽可以看到多個粉紅色的進程，這說明這些進程都被插入了木馬的線程。點擊其中的為粉色的IE瀏覽器進程，發現其中包括了一個可疑的木馬模塊hack.dll(圖1)。當然有的時候黑客會設置其他名稱，這時我們只要看到沒有“文件廠商”信息的，就需要提高自己的警惕。

【編輯推薦】

1. SQL注入攻擊成為新威脅將挑戰操作系統安全
2. SQL注入攻擊及其防范檢測技術研究
3. 有效預防SQL注入攻擊的六脈神劍
4. ScanSafe:近期3波SQL注入攻擊100萬中國網站
5. 解析阻止或減輕SQL注入攻擊實用招數