可见所谓的行为检测令人怀疑。
    再来测试另一款国外比较著名的木马：Poison Ivy 2.3.2

图14

    配置生成一个服务端，这个扫描出来报毒。定位一下特征。

     >>复合特征码定位结果<<            

    文件名:C:\Documents and Settings\dd\桌面\ssssss.exe
    ------------------------------------------------
    特征码 物理地址/物理长度 如下:
    [特征] 0000081B_00000002

    特征码分布示意图:
    [--------------------------------------------------]
    [-------------M------------------------------------]
     [--------------------------------------------------]
    [--------------------------------------------------]
    [--------------------------------------------------]

    转换成内存地址如下：
    00400817   .  57            push    edi
    00400818   >  6A 01         push    1
    0040081A   .  57            push    edi
    0040081B      FF75 FC       push    dword ptr [ebp-4]
    0040081E   .  6A 00         push    0
    00400820   .  56            push    esi
    00400821   .  FF96 E5000000 call    dword ptr [esi+E5]
    红色部分为特征码所在地址。
    修改后如下：

    00400817   .  57            push    edi
    00400818   >  6A 01         push    1
    0040081A   .  57            push    edi
    0040081B      8F45 FC       pop    dword ptr [ebp-4]
    0040081E   .  6A 00         push    0
    00400820   .  56            push    esi
    00400821   .  FF96 E5000000 call    dword ptr [esi+E5]

    仍然在诺顿所有监控全开的情况下，运行文件。这防火墙没有任何提示，而且，木马已经上线了。

 
图15

    扫描系统的时候，结果没有扫出任何风险。