五大标准帮助企业选择Web木马防护工具

网络病毒，特别是Web木马现在已经是过街老鼠，人人喊打。可见Web木马给网民带来了多么大的损害。有些甚至已经到了谈虎色变的地步。其实Web木马并没有大家想象中的那么可怕。只要选择一款合适自己的防木马工具，就可以将Web木马挡在门外。在这篇文章中，笔者就给大家介绍一下如何介绍如何选择Web木马防护工具。

　　标准一：对Zip压缩包的扫描能力

　　在Web木马传播中，ZIP压缩包是木马比较喜欢藏匿的地方。当用户通过Web邮件客户端下载一个ZIP附件并打开时，有可能木马已经在用户不知觉的情况下在本地运行。并伺机取感染其他用户。为此笔者认为，在选择Web木马防护工具的时候，首先需要去确认一下，这个防护工具对于Zip压缩包的扫描能力。

　　通常情况下，大部分Web木马防护工具已经具有了这个ZIP压缩包扫描工具，但是其只能够扫描单层的Zip压缩包。其实用户可能都有过这方面的经验。当选中ZIP压缩包，按右键进行解压后，发现解押出来的文件还是一个压缩包。然后再对这个压缩包进行解压，得到的仍然是一个压缩包。如此循环几次后，最后得到的才是文件的本身。这就涉及到多层ZIP压缩文件。当接受到这个文件的时候，需要特别当心。因为这很可能就是Web木马的伎俩。因为现在很多Web防木马工具，只具有单层ZIP压缩包扫描工具。当对以上这种情况，具有两层或者两层以上的压缩时，就对隐藏在其中的木马无能为力了。不少木马就是利用防护工具的这个缺陷，故意将一个文件进行多次打包，以躲过防护工具的监测。

　　为此在选择木马防护工具时，要选择那些可以扫描ZIP压缩包，特别是能够支持多层扫描的防护工具，效果会比较好。标准二：防护工具是否能够进行内存扫描

　　当用户打开某个网页，如果对方网页有木马，首先这个木马会进入到用户主机的内存中。然后在内存中寻找可以利用的进程。如果发现有可疑利用的漏洞(如操作系统某个进程的缺陷等等)。这是一种比较传统的，也是危害性比较大的木马侵入手段。

　　这也就要求一款优秀的木马防护工具还必须具有内存扫描的能力。通过内存扫描来发现插入其他进程地址空间运行的最新木马。另外需要注意的是，从内存中查杀木马是比较危险的一项工作。因为其如果误杀了其他系统可用的进程(即使这个进程正的被木马感染了)，此时就会导致主机或者所使用的系统死机。这也就要求我们在选择防木马工具的时候，同时要兼顾其稳定性。特别是在涉及到内存中的木马自动查杀的时候，如果有可能导致用户系统死机的关键进程，在清除之前最好能够像用户发出提醒。当用户保存了相关数据之后再进行清除。毕竟木马虽然可恨，但是数据同样重要。标准三：需要能够分析未知的病毒

　　道高一尺，魔高一丈。通常情况下，木马总是比防护工具先走一步。也就是说，木马出来后(一段时间后)，相应的防护工具才能够识别并进行查杀。这就是说当木马被发现之后，相当一部分数量的用户其实已经中了木马。这无疑会给用户带来很大的损失。毕竟发生在你的身上，这个中木马的几率就是百分之一百。

　　为此在选择木马工具的时候，最好还要确认一下，这款防木马工具对未知病毒的发现能力。如笔者推荐一款Antiy的木马防护工具。这是一个相对来说比较专业级别的Web木马检测和系统安全工具。这款工具最重要的特点就是不仅能够查杀已知的木马，而且还能够发现部分未知的木马。这主要是因为这款工具有一个智能分析系统。能够根据某些进程的特征与运行情况，来判断这个进程是否是木马或者被木马所感染。然后会提醒用户。不过由于其不确定性，一般系统不会进行自动查杀，而只是提醒用户需要注意这个进程。当用户认为这个进程木马的可能性比较大时，出于安全的考虑，可以将这个进程查杀掉。这就可以最大程度避免木马对用户造成不必要的损害。

　　对于一些安全级别高的应用，如网上银行等等，在选择木马防护工具时，就需要特别注意这一点。标准四：对程序通讯进行全面监视

　　从专业的角度讲，木马的运行具有一定的规律。也就是说，一个安全专家可以通过查看程序通讯的内容，来判断网页中或者系统中是否有木马。不过这需要有比较专业的技术与比较丰富的经验，才做的到。对于普通用户来说，就需要借助专业的工具对程序通讯进行全面的监视，利用工具来弥补自己在知识与经验上的不足，以发现可以进程并最终切断木马的通讯。

　　木马最基本的工作原理就是客户端与服务器端之间的通讯。判断服务器端或者客户端身份合法性(如是否是自己请求的服务器或者说单个连接请求连接了多个服务器)，这是判断一个程序是否是木马的最重要的标准之一。不过话说起来简单，木马程序会采取各种手段来千方百计的隐藏这种特征，以实现欺骗防护工具与用户的目的。

　　为此在选择防护工具的时候，最后选择这些具有对程序通讯进行全面监视功能的工具，并在必要的情况下切断木马的通讯。如果防护工具具有这个功能的话，那么具有一定专业技能的安全人员就可以借助这个工具，对进程的通信进行监控。这可以在最早的时间之内发现可以的进程。其实这个标准与第三个标准有点类似。其主要作用仍然在于在第一时间内发现可以的进程，即未知的木马，并进行查杀。不过笔者需要提醒的是，这往往对于操作者的专业技能要求比较高。一般来说，都是由企业的IT技术人员来完成。普通用户可能没有这种能力来完成这项工作。标准五：对特定文件和敏感区域的监视

　　操作系统中不同的应用往往对于安全有不同的要求。如网上银行应用，其安全级别要求就比较高。对于这些关键应用，在防护木马是需要特别考虑。这就涉及到防护功能能否对特定的文件或者敏感区域进行有差别的监视。

　　简单的说，现在有两个应用，分别为网上银行应用和论坛BBS应用。这两个地方都是木马比较喜欢关注的地方。但是从安全的角度讲，网上银行的应用比论坛来说，安全级别要高的多。如果同时对这个两个应用进行监控(有时候企业所采用的应用多达几十种)，则监控到的记录信息会很多。此时从众多的信息中发现可疑的行为，如同大海捞针，会非常的困难。但是如果在监控时，只监控那些关键的应用，那么其涉及到的范围就会非常的小。IT安全人员对通讯进行监控时也会更加具有针对性。