斩于马下 挑战木马克星Ewido显神威（3）

    2.扫描设置

    由于是全面扫描，因此需要的时间会很长，在扫描的同时切换到“Settings”（扫描设置）选项卡，查看扫描设置（如图5）。在“How to act？”（如何处理病毒文件）中，可以设置检测到木马后默认的处理动作。点击“Recommend actions”（默认操作），在弹出菜单中选择“Quarantine”（隔离）命令，将在检测到木马后自动对其进行隔离操作。

图5

    仔细看了一下“How to Scan”中的设置项，惊喜的发现了Ewido功能的强大之处，不仅可以扫描捆绑文件、未知病毒、加壳的木马等，还可以检测出NTFS数据流木马！这些功能一会儿测试吧！在“Possibly unwanted software”（不需要的附加软件）项中，使用默认的设置选项，可以全面的查杀流氓广告、有危险的Cookies信息和一些可疑的拨号连接。在“What to Scan”中，可设置扫描的文件类型。为了保险起见，直接就选择了“Scan every file”（扫描所有文件）；如果想加快扫描速度，只扫描某几个文件类型的话，可勾选“Choose files by extension”（通过后缀名指定要扫描的文件），并添加文件类型。

    小提示：在这里笔者又发现了一个小惊喜，文件类型中有asp/cgi/php，也就是说可以扫描网页木马文件！

    3.木马大清除

    返回扫描界面，发现竟然扫描出了20多个木马，这其中当然有刚才木马克星无能为力的，也有木马克星检测不出来的木马！毫不犹豫的在“Action”中将处理操作改成“Delete”（如图6），直接将木马删除掉，然后点击“apply all acions”（执行所有操作）按钮，很快检测出来的木马都被删除掉了。不过又弹出一个提示窗口，显示其中一个木马文件无法删除，这下我有些纳闷了，难道这些木马采用了特殊保护技术，DLL注入？还是进程守护？

图6

    4.揪出木马进程

    怎么办呢？仔细查看了一下软件界面，看到上面有一个功能按钮“Analysis”(分析），点击后切换到木马分析页面，看到这里有许多木马分析小工具。先看看端口吧，选择“Connections”选项卡，在这里查看到所有网络连接开放端口。

    小提示：在“Analysis”页面中，“Processes”项可以查看和结束木马进程；“Autostart”可管理系统自启动项目；“Browser Plugins”项可管理删除加载到IE浏览器中的流氓插件。