Byshell是一個無進程、無DLL、無啟動項的、集多種Rootkit技術(shù)特征的獨立功能遠程控制后門程序(Backdoor)。其利用線程注射DLL到系統(tǒng)進程，解除DLL映射并刪除自身文件和啟動項，關(guān)機時恢復。它是內(nèi)核級的木馬程序，主要部分工作在Ring0，因此有很強的隱蔽性和殺傷力。

　　黑客通常用Byshell木馬程序遠程控制安裝了Windows NT/2000/XP/2003操作系統(tǒng)的機器。當Byshell被安裝在一臺遠程計算機上后，黑客就擁有完全控制該機器的能力，并且不會被已控制機器所安裝的殺毒和防火墻等軟件及管理員手工檢測出來。

　　如何繞過主動防御

　　Byshell利用Rootkit技術(shù)，可以繞過嚴格的防火墻或者邊界路由器訪問控制，無論從內(nèi)網(wǎng)或者外網(wǎng)的被控端，都可以輕松連接到外網(wǎng)的控制端。該技術(shù)所建立的連接也會被隱藏，被安裝該后門程序的機器都不能看到該后門使用的連接。

　　同時，它沒有自己的獨立進程，也不會在任務(wù)管理器或者絕大部分第三方進程管理工具中出現(xiàn)新進程。它使用一個隱藏的iexplore.exe進行對外連接，可以繞過防火墻的應用程序訪問網(wǎng)絡(luò)地址。在注冊表中找不到由它建立的啟動項，無任何RUN鍵值，避免了被Msconfig之類程序檢測到。

　　ByShell木馬通過對當前系統(tǒng)的SSDT表進行搜索，接著再搜索系統(tǒng)原來的使用的SSDT表，然后用以前的覆蓋現(xiàn)在的SSDT表。木馬程序則又可以按照正常的順序來執(zhí)行，這樣就最終讓主動防御功能徹底的失效。

　　五步清除Byshell

　　1.安裝一個具備進程管理功能的安全工具軟件，查看系統(tǒng)進程，可以看到很多被明顯標識出的進程。這些進程都是可疑進程，很有可能有些進程已被植入木馬病毒。點擊其中的IE瀏覽器進程，發(fā)現(xiàn)其中包括了一個可疑的木馬模塊hack.dll。

　　2.找出來該安全工具軟件中與服務(wù)管理相關(guān)的選項，同樣可以看到多個被明顯標識出的系統(tǒng)服務(wù)，說明這些服務(wù)都不是系統(tǒng)自身的服務(wù)。經(jīng)過查看發(fā)現(xiàn)一個名為Hack的服務(wù)較為可疑，因為它的名稱和木馬模塊的名稱相同。

　　3.找出工具軟件中與文件管理相關(guān)的標簽，在模擬的資源管理器窗口中，按照可疑模塊的路徑指引，很快發(fā)現(xiàn)了那個可疑的木馬模塊文件hack.dll，與此同時還發(fā)現(xiàn)一個和模塊文件同名的可執(zhí)行文件，看來這個木馬主要還是由這兩個文件組成的。

　　4.現(xiàn)在我們就開始進行木馬的清除工作。在進程管理選項中首先找到被明顯標識的IE瀏覽器進程，選中它后通過鼠標右鍵中的“結(jié)束這個進程”命令清除它。接著點擊服務(wù)管理選項，選擇名為Hack的服務(wù)后，點擊右鍵菜單中的“刪除選中的服務(wù)”命令來刪除。

　　再選擇程序中的文件管理選項，對木馬文件進行最后的清除操作。在系統(tǒng)的system32目錄找到hack.dll和hack.exe文件后，點擊右鍵菜單中的“直接刪除文件”命令，完成對木馬的最后一擊。然后重新啟動系統(tǒng)再進行查看，確認木馬是否被清除干凈。

　　5.由于木馬程序破壞了殺毒軟件在SSDT表中的內(nèi)容，因此大家最好利用軟件自帶的主動修復功能來進行修復，或者重新將殺毒軟件安裝一次即可。

　　以前木馬種植前，黑客最重要的工作就是對其進行免殺操作，這樣就可躲過殺毒軟件的特征碼檢測�，F(xiàn)在ByShell已經(jīng)有木馬可以突破主動防御，以后這類木馬也會越來越多，因此大家一定要加強自己的安全意識。