图16
看来诺顿网络安全特警2008所谓的主动行为检测是形同虚设,我想问,你的主动防御是用来防御什么的?所谓的防火墙在这三款木马运行的时候都是没有任何提示的,大门是敞开的。
再来看一下这句介绍:核心模式的Rootkit防护,能够抵挡那些使用Rootkit来常驻在操作系统最深层、以企图逃避安全软件监测的隐藏威胁。
当然没有找到合适的ROOTKIT来测试,可是我想问,连这种目前比较相对落后的木马的检测都不具备一定的强度,还谈ROOTKIT检测,特征也不过取了一处,这个很容易让木马产生变种。由于最近比较忙,所以最后来测试一个具有ROOTKIT功能,隐藏进程和端口的国产木马PCSHARE。这款远程控制木马有三个文件需要特征定位。
图17
