主动出击先发制人—— 木马防御大师

玩黑的朋友都知道，任何木马到了一个只会使用工具的黑菜手中，都有可能通过加壳变形成为新的木马，让杀毒软件无能为力！网络上各种变形木马、未知病毒、间谍软件、广告软件、流氓软件……数不胜数，而普通杀毒软件都只是被动的升级病毒库才能查杀已知的病毒，永远落后于各种木马病毒。不过今天我们要介绍的这一款“木马防御大师”，让你真正主动出击，查杀木马保护系统，你会体会到掌握主动的感觉真好！

    一、安装

    木马防御大师 V2006 build 060405是一个专业的病毒查杀工具，可清理国内及国际上流行的数万种木马和病毒、广告软件及间谍软件，更可以查杀系统DLL木马和系统服务型木马。内置的系统保护大师防毒墙功能，可以使用内核级的保护技术防止任何木马、恶意网页、恶意程序、蠕虫、捆绑插件等对系统的修改；未知病毒行为监控技术预警危险操作，可以让我们无忧上网。

    木马防御大师在安装后，同时附带了几个功能模块，在桌面上会显示“完美防火墙”、“完美防毒墙”、“电脑体检”等。

    二、清洁系统，轻松查毒

    安装完毕后，首先进行第一次病毒查杀，双击桌面上的“木马防御大师”，在程序运行界面可以快捷功能按钮，进行内存查毒和网络区敏感区查毒（如图1）。在右侧目录中勾选要扫描的路径后，点击上方的“扫描硬盘”按钮，就可以开始扫描系统中是否存在病毒了。默认的扫描方式非常慢，因此在扫描前，最好点击“功能选项”按钮，打开设置对话框，勾选其中的“使用最新病毒库闪电查毒”，扫描速度就会快得多了（如图2）。

图1

图2

    小提示木马防御大师的特点是主动防御病毒，因此被动的病毒查杀扫描功能并不是最强的，不过利用该功能还是可以查找扫描出一些杀毒软件无法查杀的广告软件和流氓软件。三、主动防御，确保安全

    木马防御大师最强大的是防御功能，它的实时监控与保护功能，采用了内核级别的保护技术，可以防止任何未知的捆绑插件、木马病毒、广告软件、间谍软件修改我们的系统。由于系统底层保护，任何木马及恶意软件均无法穿透。要启用这个功能非常简单，只需要点击界面中的“实时监控”按钮即可。

    在实时监控界面中，如果“系统保护”和“实时监控”功能未开启的话，上面的两个按钮会显示灰色，绿色表示成功的开启（如图3）。在“智能防护”项中，可以设置通过程序进程的行为来监控是否运行了木马，也可以对进程及服务进行监控；另外勾选“IE漏洞保护”项，可以有效的防范大部分的通过IE漏洞进行的网页木马攻击。

图3

    其中“实时监控”功能是对系统中正在运行的程序进程和访问的文件，进行实时扫描，判断其行为是否是木马后门等。我们主要来看看“系统保护”功能，这个功能是非常有用的。

    防范一：IE永保无忧

    访问恶意网站、运行流氓软件、他人乱动自己的电脑……，都有可能造成自己的IE浏览器设置被修改，如何保护IE是非常烦人的问题。与其事后恢复，不如主动防护。

    点击实时监控界面中的“高级”按钮，展开系统保护高级设置下拉菜单。在中间窗口的保护选项列表中，勾选与IE有关的几个保护选项，开启IE保护功能（如图4）。保护的IE项目包括IE设置和IE控制选项等，还可以防止3721、百度搜霸及其它各类流氓软件在IE中添加右键菜单和工具条等。

图4

    这里我们来测试一下IE首页保护功能，打开“百度”页面后，点击“把百度设置为首页”按钮，IE提示将更改首页，确认后重新打开IE，发现刚才的更改根本没有生效。也可以手动点击IE菜单命令，打开IE选项设置框手工更改首页，将会发现木马防御大师是在后台悄悄的对IE进行保护的。这下子再也不用担心IE受到骚扰了！
防范二：防范普通未知木马

    木马防御大师是通过进程行为来防范未知木马的，普通的未知木马要进入系统，必定会在注册表中添加启动项目，修改文件关联等。在高级设置框中，首先勾选“保护系统启动项目不受修改”的Run/RunOnce/RunOnceEx/RunService几个选项。点击“应用”后，任何木马或是程序都无法更改这几个注册表项目了。点击旁边的“日志”按钮，可以查看到被拦截的注册表修改操作纪录（如图5）。另外，在保护项目列表中再勾选开启TXT文档和EXE文件及扩展菜单的文件关联保护选项，就可以保护木马无法通过修改文件关联进行启动了。

图5

    在保护项目列表中，还有几套内核型木马规则，这些规则是木马防御大师用来判断某个进程的行为是否合法的依据，因此一定要勾选开启。这样就可以全面的保护系统，让普通木马无法进驻电脑了！

    防范三：防范强悍木马

    有一些木马是比较强悍的，比如DLL注入式木马、Rootkit木马之类的。这些木马都要抢先系统启动，因此需要开启“保护登录初始数据”项，可以防范木马提前启动（如图6）。DLL木马一般是要通过替换Windows中的系统DLL文件或嵌入Windows外壳中，因此可以开启“保护Windows外壳程序”、“保护Windows初始DLL”和“保护Windows扩展外壳对象”保护项目。而Rootkit木马要进入系统并进行隐藏，必须通过HOOK钩子调用，因此可以开启“保护系统的HOOK区”保护项目功能。

图6

    笔者在自己的电脑上测试了一下加壳的“上兴远控木马”，可以发现这个DLL注入木马被木马防御大师，通过行为判断和文件实时监控成功的拦截了（如图7）！而笔者信赖的各种杀毒软件却根本没有任何反应！

图7小提示在开启各种保护功能后，由于不能修改注册表和系统文件，某些正常的软件程序可能不能正常安装，这时可暂时关闭保护功能。

    另外，木马防御大师中的“电脑体检”功能模块可以通过文件威胁等级，检查系统中各种未知木马后门存在的可能性；而“完美防火墙”则提供了一个功能强大实用的防火墙（如图8）。——让我们随时开启木马防御大师保护自己系统，真正做到天下无马，天下无毒吧！！

图8