木马终结者——Antiy Ghostbusters

    现在木马、后门程序肆意横行，令人不胜其烦，谁都难以忍受。于是乎，各种网络防火墙就成了电脑的把门大将了。这固然可以防范那些黑客程序的攻击，可如果想彻底将电脑中的木马、后门赶尽杀绝的话，Antiy Ghostbusters是不会让人失望的。

    Antiy Ghostbusters是何方神圣？它是一款专业级木马检测工具，可以对驱动器、内存进程和目录进行扫描，准确检测并彻底清除对用户系统存在安全威胁的程序，如Trojan（木马）、Backdoor（后门）、keylog（键盘记录程序），包括那些开放后门的各种蠕虫程序等等。其监控器可以对文件和敏感区进行监控，随时发现活动的木马。它还内置了多个实用的安全工具，让用户可以对启动加载项、共享目录、任务、进程、服务等进行管理，可以查看网络连接状态，端口进程关联信息，可以恢复恶意网页对IE设置的修改，便于用户对系统进行管理。心动吧！心动不如行动，下面就以Antiy Ghostbusters Advanced Edition 4.52为蓝本来实战一番，Let'Go……

 一、全面监控，捍卫安全

    Antiy Ghostbusters Advanced Edition 4.52由监视器程序AGBM和软件管理程序组成，AGBM是一个超级安全工具，具备强大的网络安全监视和系统监视功能。双击桌面上的“Monitor”快捷方式运行监视器程序AGBM，用鼠标右击系统托盘中的AGBM图标，弹出如图1所示的快捷菜单，勾选“Firewall”和“Sys Monitor”，这样就启用了网络安全监视和系统监视，计算机上的一举一动都将在AGBM的监视下。无论是采用开放侦听端口等待连接的后门，还是当今流行的反弹木马都会捕获。

图1

    很想知道AGBM到底已经内置了多少安全监视规则吧！在软件菜单中点击“Config Monitor”，打开“AGB Monitor”对话窗口，这里列出所有已经存在的安全规则。如果想添加一条新的安全规则禁止Telnet的规则，请选择“Rule”菜单中的“New”，弹出“Append New Rule”对话框。先选择“Block”，勾选“Specify Local PORT”复选项，在其后输入：23，接着勾选“Specify Protocol”，在其后的下拉列表中选择“TCP”，再在“Description”中填写好规则描述，最后点击“OK”即完成(如图2)，这样当别人试图远程Telnet我们的计算机时，是无法成功的。我们还可以选择“Rule”菜单中的“Edit”，在弹出的“Edit Current Rule”对话窗口中来编辑现有规则，或者是点击“Rule”菜单中的“Delete”来删除选定的规则。

图2

    二、木马后门，赶尽杀绝

    在图1所示的菜单中选择“Start AGB4”，打开“Antiy Ghostbusters”对话窗口，其主要由三大板块构成：“Scan Target”（目标扫描）、“SYS Tools”（系统工具）和“Config”（配置）。其中“Scan Target”模块可以绝地搜捕计算机中的病毒、木马，这可是Antiy Ghostbusters最重要的功能之一哦！通过它可以检测和清除已知和未知的恶意程序。

    点击进入“Concise Target”页，可以对“My Computer”、“My Documents ”、“Sensitive Area”、“Memory”、“Hard Disk”等进行分类扫描。双击“My Computer”可以对计算机的所有资源进行扫描、检测；双击“Sensitive Area”，程序将检测恶意程序经常寄生的位置；双击“Memory”，程序则将检测所有的内存进程和每个进程的所有线程，它将发现内存中活跃的木马(如图3)。

图3

    若仅想扫描检测指定磁盘分区，请点击“Disk target”进入，然后双击要检测的分区即可。如果只想检测某文件夹，请点击进入“Folder Target”，勾选好要扫描的目标文件夹，然后点击窗口上方的第一个播放状按钮即开始扫描，点击第二个按钮停止，要查看检测结果，请单击第三个按钮(如图4)。

图4

    (小提示：因为病毒、木马是不断发展、涌现的，为了保障AGB能够准确地捕杀木马、病毒，请定期点击第四个按钮“Update”来升级。

)

    三、系统工具，锦上添花

    Antiy Ghostbusters还提供了许多安全工具：IE Setting Fix（IE修复）、Share Management（共享管理）、Task Management（任务管理）、Process Management（进程管理）、 Service Management（服务管理）、Process to Port Mapper（进程端口关联）、Network Connection Status（网络连接状态）。

    1.快速修复IE

    现在的恶意网页遍地都是，而且手段越来越狠，如果IE浏览器不小心遭到恶意修复，就可以使用AGB的“IE Setting Fix”功能来修复。点击进入“IE Setting Fix”页，在这里可以来恢复恶意程序对IE的部分修改，比如：IE Title（IE标题）、Homepage URL（主页）等等。勾选“Enable Regedit”可以恢复被非法禁用的注册表编辑器，若想修复IE右键，请勾选“Enable IE right button”复选项(如图5)。

图5

    2.管好任务进程

    在Task Management中可以一个都不少地看到正在运行的任务名称和PID，右击任务，选择“Stop Task”即可结束任务。如果想了解系统进程的详细信息，请进入Process Management页，单击某一进程，在其下就是显示出该进程相关联的进程模块。如果想结束进程，请右击，选择“Kill Process”即可。一旦发现了陌生的进程，想弄清楚其来源，就可以进入Process to Port Mapper页，在这里可以看到进程与通讯端口的映射关系，从而可判断是否有非法进程。另外，还可利用Network Connection Status查看网络连接状态，来发现木马、攻击的根源（如图6）。

图6

    3.限制共享服务

    有时因工作的需要往往会在网络上共享一些资源，同时有些恶意程序也会非法共享资源，从而导致遭受非法访问、攻击。在“Share Management”中可以查看自己全部的共享目录（包括名字和路径），点击上部的第二个按钮可以禁止选定的共享，点击第三个按钮将停用所有共享对象。

Service Management可以在远程和本地计算机上开始、停止、暂停或继续服务，并配置启动和故障恢复选项。与Windows系统的服务功能不同的是，它可看到所有作为服务运行的可执行程序完整路径和文件名（如图7），这对木马的手工检测和系统分析是很有帮助的。一些恶意程序可以作为服务运行，当确定一个服务是恶意程序开启的时候，就可用本功能删除恶意程序的相关服务，然后再删除相应的进程和文件。

图7

    (小提示：为了让Antiy Ghostbusters更好地发挥效力，建议打开“Config”中的“Option”，对“Scan Option”、“Monitor Option”进行个性化配置。)

    怎么样？当我们把Antiy Ghostbusters请回家后，木马、后门就无处藏身了。

下载地址：http://newhua.ruyi.com/down/agb4a.exe