三、Byshell轻松躲过主动防御功能
    今天主要讲的是Byshell突破主动防御功能，所以对于杀毒软件的病毒查杀，我们不考虑在内。因此这里要将Byshell木马进行免杀处理，至于如何免杀的方法有很多，大家可以搜索IT168以前所讲的文章便可。假设现在已经得到了一个不被杀毒软件查杀的Byshell木马，然后打开卡巴斯基所有主动防御选项，并且将安全级别提高到最高，而后在运行一下刚建立的Byshell木马服务端，结果发现卡巴斯基的主动防御功能并未启到任何作用。而这时在Byshell木马的客户端界面，就可看到中招的机器已经成功上线了，另外它还可以突破很多防火墙和采用SSDT钩子监控的安全软件。

    小提示：可这里大家可能要问它是如何绕过主动防御的，其实主要因素是Byshell利用Rootkit技术，可以绕过严格的防火墙或者边界路由器访问控制，无论从内网或者外网的被控端，都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程序的机器都不能看到该后门使用的连接。

    同时，它没有自己的独立进程，也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接，可以绕过防火墙的应用程序访问网络限制。在注册表中找不到由它建立的启动项，无任何RUN键值，避免了被Msconfig之类程序检测到。 ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效。

    四、Byshll木马的防范
    从以上大家可以了解到，Byshll木马可以轻松突破一些老牌强悍的杀软，可见该木马的厉害。那么如何才能防范Byshell木马，自然也就成了非常棘手的问题了。其实对于其木马的防范，我们只需要采用一些在主动防御功能基础上，加有内核保护机制的杀毒软件便可，比如国外的HIPS软件，如“Prosecurity”等，就可以有效拦截Byshll木马的突破。