在本期杂志中，我们介绍了具有主动防御功能的HIPS软件ProSecurity。可能大家也注意到，各种杀毒软件也纷纷推出了主动防御功能，比如瑞星杀毒软件2008版的宣传广告中，认为“目前市面上的一些主动防御软件只做了三层结构中的部分功能”，而瑞星的“全面实现三个层级的主动防御，才是真正意义上的主动防御功能”。那我们就以一款木马的查杀，来试试ProSecurity和瑞星吧!
　　
　　奇怪的“图片”
　　
　　前段时间，笔者直接打开了QQ传过来的一幅图片。就此开始了QQ和网游账号被盗、摄像头被监控的噩梦……
　　在种种迹象表明自己被木马远程监控之后，笔者断开网络，对电脑进行了全面的安全检测和分析。分析证明图片是一个伪装极其高明的木马文件，捆绑木马后照样能显示正常的图片，而目木马文件作过了专门的免杀处理，用卡巴斯基、KV等多款杀软进行了检测，并未发现有病毒。对于这类免杀过的木马，真的只有依靠主动防御功能才能进行防范了。但是笔者在用安全工具“Wsyscheck”检测系统内核时，发现系统中的SSDT表全部被破坏!
　　运行wsyscheck，选择“内核检查／SSDT检查”选项页，在其中可看到系统SSDT表恢复成了默认值，也就是未装杀毒软件时的情况。而正常状态下，安装了瑞星杀毒软件2008或其它主动防御的杀毒软件之后，SSDT表中显示显示有红色标注的被修改的SSDT表信息(如图1)。
　　


　　SSDT的全称是“system Services DescriptorTable”，中文翻译为“系统服务描述符表”。Windows系统中的SSDT表，是把应用层指令传输给系统内核的一个通道。所有杀毒软件的主动防御功能都是通过修改SSDT表，拦截程序对系统内核的更改，让木马病毒等无法正常的运行。
　　在Wsyscheck工具中，切换到“服务管理”选项页中，可以看到有一个名为“SteelKernel32”的服务非常可疑。查看该服务的描述信息，发现为“ByShell服务端，远程监控管理官方网站www.SteelKernel.com”，很明显这是一个木马服务。依据服务信息上网查询，才知道这原来就是大名鼎鼎的ByShell木马。
　　
　　瑞星VS.Byshell
　　
　　其实ByShell木马就是通过对当前系统的SSDT表进行破坏，使用系统原来的SSDT表覆盖现在的SSDT表，从而让瑞星2008的主动防御功能彻底失效的，而木马程序则可以正常进行远程监控。笔者为了求证木马能否成功突破瑞星2008主动防御，特意从网上下载了ByShell木马，使用默认的配置生成服务端，并进行了免杀处理。在一个全新的系统中安装瑞星2008并开启了主动防御功能，结果发现ByShell在运行时，主动防御功能没有发出任何提示。
　　
　　ProSecurity VS. Byshell
　　
　　在开启了ProSecurity的系统保护功能后，运行ByShell木马时，软件会弹出拦截对话框，提示在系统目录下生成名为“ntboot.exe”的文件(如图2)。即使用户无意允许后，还会弹出生成“ntboot32BP.sys”的木马文件，此后还会多次弹出警告窗口，提示生成“SteelKernel.exe”和“SteelKernel.dll”木马控制文件(当然木马文件名有可能被改成其它的)，然后会提示“SteelKernel.dll”文件再次调用“ntboot.exe”。在此之前的任何步骤中拦截阻止木马文件的操作，都可防范木马进驻系统中。