标准二:防护工具是否能够进行内存扫描
当用户打开某个网页,如果对方网页有木马,首先这个木马会进入到用户主机的内存中。然后在内存中寻找可以利用的进程。如果发现有可疑利用的漏洞(如操作系统某个进程的缺陷等等)。这是一种比较传统的,也是危害性比较大的木马侵入手段。
这也就要求一款优秀的木马防护工具还必须具有内存扫描的能力。通过内存扫描来发现插入其他进程地址空间运行的最新木马。另外需要注意的是,从内存中查杀木马是比较危险的一项工作。因为其如果误杀了其他系统可用的进程(即使这个进程正的被木马感染了),此时就会导致主机或者所使用的系统死机。这也就要求我们在选择防木马工具的时候,同时要兼顾其稳定性。特别是在涉及到内存中的木马自动查杀的时候,如果有可能导致用户系统死机的关键进程,在清除之前最好能够像用户发出提醒。当用户保存了相关数据之后再进行清除。毕竟木马虽然可恨,但是数据同样重要。
