主动出击先发制人—— 木马防御大师（3）

    防范二：防范普通未知木马

    木马防御大师是通过进程行为来防范未知木马的，普通的未知木马要进入系统，必定会在注册表中添加启动项目，修改文件关联等。在高级设置框中，首先勾选“保护系统启动项目不受修改”的Run/RunOnce/RunOnceEx/RunService几个选项。点击“应用”后，任何木马或是程序都无法更改这几个注册表项目了。点击旁边的“日志”按钮，可以查看到被拦截的注册表修改操作纪录（如图5）。另外，在保护项目列表中再勾选开启TXT文档和EXE文件及扩展菜单的文件关联保护选项，就可以保护木马无法通过修改文件关联进行启动了。

图5

    在保护项目列表中，还有几套内核型木马规则，这些规则是木马防御大师用来判断某个进程的行为是否合法的依据，因此一定要勾选开启。这样就可以全面的保护系统，让普通木马无法进驻电脑了！

    防范三：防范强悍木马

    有一些木马是比较强悍的，比如DLL注入式木马、Rootkit木马之类的。这些木马都要抢先系统启动，因此需要开启“保护登录初始数据”项，可以防范木马提前启动（如图6）。DLL木马一般是要通过替换Windows中的系统DLL文件或嵌入Windows外壳中，因此可以开启“保护Windows外壳程序”、“保护Windows初始DLL”和“保护Windows扩展外壳对象”保护项目。而Rootkit木马要进入系统并进行隐藏，必须通过HOOK钩子调用，因此可以开启“保护系统的HOOK区”保护项目功能。

图6

    笔者在自己的电脑上测试了一下加壳的“上兴远控木马”，可以发现这个DLL注入木马被木马防御大师，通过行为判断和文件实时监控成功的拦截了（如图7）！而笔者信赖的各种杀毒软件却根本没有任何反应！

图7