【IT168 专稿】笔者应邀，参加了2008年1月12日和13日，由It168/Itpub/Ixpub联手举办的精英年会。在网络安全论坛会议上，瑞星公司反病毒工程师史经理，对其刚推出的三层架构主动防御技术做了详细的解说，从而也让我感觉到以往的免杀手段已经显得落伍了。那么如何才能保证木马，能够轻松躲过主动防御技术的追杀呢？请听笔者一一向你道来。

    一、主动防御功能PK木马免杀
    未知病毒和木马，一直以来都是杀毒厂商们最头疼的一件事，因此在2008年全国各大杀毒厂商，不约而同的推出主动防御功能。例如刚才说过的瑞星三层架构主动防御技术，还有其他像卡巴、金山杀毒软件也毫不示弱，也推出了相当强悍的主动防御功能。以前修改特征码或者加上普通壳就可以躲避杀毒软件的追杀，而如今面对刚刚推出的新功能杀软，即使不借助病毒库追杀，也会将其木马的运行所拦截。这里笔者以微点防御软件为例，运行一个木马程序，此时其防御软件的主动防御功能，不仅会对其进行拦截，同时还会分辨出它是木马。如图1

    二、配置Byshell木马服务端
    Byshell 是一款新兴的远程控制木马，它采用了世界最强的穿透技术，利用其内核驱动来突破杀毒软件的主动防御。而且大部分杀毒软件的主动防御，在Byshell面前根本就是形同虚设，拦截不了木马的运行。

    黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的机器。当Byshell被安装在一台远程计算机上后，黑客就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。那么如何才能配置其木马服务端呢？这里运行“Byshell客户端”程序，此时就会自动弹出“监听端口”对话框，里面默认输入的是2007。如果你不想让木马监听的端口被发现，请将其更改为与系统服务比较接近的数字端口，然后单击“确定”按钮使其生效，从而可以达到迷惑用户的目的。如图2

    操作完毕后，进入到“Byshell木马客户端”界面，在顶端的工具栏内，单击“配置服务端”按钮，打开“配置服务端”对话框。如图3

    从中依次输入自己的空间网址，反弹连接IP地址（本机地址），另外服务端备注最好留下迷惑性的语句，例如输入“Windows系统自动更新程序”，这样就不会被被其用户轻易察觉了。然后单击“生成”按钮，在弹出的“另存为”对话框内，将默认Server文件名，更改成与系统服务接近的名称，在将选择你要保存的路径即可。

    三、Byshell轻松躲过主动防御功能
    今天主要讲的是Byshell突破主动防御功能，所以对于杀毒软件的病毒查杀，我们不考虑在内。因此这里要将Byshell木马进行免杀处理，至于如何免杀的方法有很多，大家可以搜索IT168以前所讲的文章便可。假设现在已经得到了一个不被杀毒软件查杀的Byshell木马，然后打开卡巴斯基所有主动防御选项，并且将安全级别提高到最高，而后在运行一下刚建立的Byshell木马服务端，结果发现卡巴斯基的主动防御功能并未启到任何作用。而这时在Byshell木马的客户端界面，就可看到中招的机器已经成功上线了，另外它还可以突破很多防火墙和采用SSDT钩子监控的安全软件。

    小提示：可这里大家可能要问它是如何绕过主动防御的，其实主要因素是Byshell利用Rootkit技术，可以绕过严格的防火墙或者边界路由器访问控制，无论从内网或者外网的被控端，都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程序的机器都不能看到该后门使用的连接。

    同时，它没有自己的独立进程，也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接，可以绕过防火墙的应用程序访问网络限制。在注册表中找不到由它建立的启动项，无任何RUN键值，避免了被Msconfig之类程序检测到。 ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效。

    四、Byshll木马的防范
    从以上大家可以了解到，Byshll木马可以轻松突破一些老牌强悍的杀软，可见该木马的厉害。那么如何才能防范Byshell木马，自然也就成了非常棘手的问题了。其实对于其木马的防范，我们只需要采用一些在主动防御功能基础上，加有内核保护机制的杀毒软件便可，比如国外的HIPS软件，如“Prosecurity”等，就可以有效拦截Byshll木马的突破。