多维防护看KV2008强大安全防御能力

来源：pcdog 作者：佚名出处：巧巧读书 2008-02-01 进入讨论组

　　2.利剑斩木马。木马在这个时代是越来越猖獗，灰鸽子、上兴、守望者、黑洞等等木马软件在网上横行霸道，给信息安全带来了极大的隐患。它们所使用的技术也是不断更新，有的使用系统文件名漏洞来隐藏自身，有的是使用与其它程序进行捆绑来隐藏自身，还有的使用Rootkit技术或是采用NTFS流隐藏技术等等……但不管病毒使用怎样的手段，江民杀毒软件都可以有效查杀这些木马!

　　这里就以典型的“上兴”木马为例来介绍KV2008的反木马能力。

　　如果中了最新的“上兴”木马之后，它会冒充iexplorer.exe和calc.exe进程(当然，对于不同的木马配置，这两个进程会有所改变)，并且使用Rootkit隐藏这两个进程，在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。打开KV2008中的“进程查看器”立即就可以看见这两项进程

　　但是如果直接将其结束进程之后，并不会得到想要的结果，结束进程之后不一会儿它们的进程会再次启动。由此可以知道，“上兴”木马是使用双进程保护技术的，如果其中一个进程被结束了，而另一个进程就会立即检测到并且马上开启这个进程。经过分析确认“上兴”木马是使用系统服务将两个进程保护，导致江民的“进程查看器”无法将其结束。

　　但是和上面的“魔波”同样是系统服务，为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢?分析之后认为，“上兴”木马是使用的进程插入技术，将自身插入到iexplorer.exe和calc.exe中，而作为系统自带的IE浏览器和“计算器”程序本身是没有系统服务的，所以即使是结束了iexplorer.exe和calc.exe也不能真正关闭幕后黑手的服务。因此，iexplorer.exe和calc.exe就会不断的被启动，并且相互保护对方的进程。

　　既然“上兴”使用的是系统服务来保护自身，那么就可以找出“上兴”的服务，从而对症下药。单击“开始”菜单，选择“运行”(快捷键是Win+R)，输入“msconfig.exe”(不含外边中文引号)，打开“系统配置实用程序”，之后切换到“服务”选项卡，再将“隐藏所有的Microsoft服务”复选框选中，就可以清楚的看到哪些服务不是系统服务了。