隨著安全技術(shù)的發(fā)展，黑客都十分地清楚，在現(xiàn)在，利用網(wǎng)頁(yè)木馬進(jìn)行肉雞的捕捉是最好的方法。這也造成了網(wǎng)頁(yè)木馬在網(wǎng)絡(luò)中泛濫成災(zāi)，給電腦用戶造成了很大的威脅。有矛就有盾，各種網(wǎng)頁(yè)木馬攔截工具應(yīng)運(yùn)而生，這些工具不但可以對(duì)已知的網(wǎng)頁(yè)木馬進(jìn)行攔截，還可以對(duì)很多未知的網(wǎng)頁(yè)木馬進(jìn)行攔截。那么這些程序在面對(duì)網(wǎng)頁(yè)木馬時(shí)的真實(shí)表現(xiàn)如何?今天我們就讓這些網(wǎng)頁(yè)木馬攔截工具在網(wǎng)頁(yè)木馬前過(guò)招，看看誰(shuí)才是真正的網(wǎng)頁(yè)木馬克星。

　　為何能攔截未知網(wǎng)頁(yè)木馬

　　有一句話說(shuō)得很好：“病毒庫(kù)的更新永遠(yuǎn)比病毒更新慢�！焙芏嗳搜b了殺毒軟件也中了病毒就是這個(gè)原因。那么，這些網(wǎng)頁(yè)木馬攔截工具號(hào)稱能夠攔截未知的網(wǎng)頁(yè)木馬，它憑什么這么說(shuō)，它的原理是什么呢?

　　我們首先從網(wǎng)頁(yè)木馬的工作原理說(shuō)起。網(wǎng)頁(yè)木馬并不是一種全新的木馬類型，而只是一種全新的木馬偽裝和傳播方式。黑客將木馬程序轉(zhuǎn)化為圖片、腳本、視頻等網(wǎng)頁(yè)可以識(shí)別的文件形式，當(dāng)網(wǎng)友訪問(wèn)這個(gè)網(wǎng)頁(yè)木馬后，如果系統(tǒng)存在該木馬利用的漏洞，那么就會(huì)激活網(wǎng)頁(yè)木馬運(yùn)行。接著網(wǎng)頁(yè)木馬通過(guò)腳本代碼自動(dòng)下載黑客設(shè)置的木馬程序并運(yùn)行，最終讓黑客捕獲大量肉雞。

　　而網(wǎng)頁(yè)木馬攔截工具的工作原理，就是在“木馬下載后運(yùn)行”這一環(huán)節(jié)進(jìn)行攔截的。當(dāng)有文件準(zhǔn)備在后臺(tái)運(yùn)行的時(shí)候，攔截工具就會(huì)進(jìn)行攔截并提示用戶。因?yàn)樗�根本不�?huì)核對(duì)這是否是網(wǎng)頁(yè)木馬，只要網(wǎng)頁(yè)有類似可疑操作，就進(jìn)行攔截，并通知用戶。這也是為何它們能夠防范未知網(wǎng)頁(yè)木馬的原因。

　　熱門網(wǎng)頁(yè)攔截工具

　　我們特意選擇了金山清理專家、IE衛(wèi)士、瑞星卡卡、網(wǎng)頁(yè)木馬攔截器這4款當(dāng)前比較有人氣的網(wǎng)頁(yè)木馬攔截工具。其中金山清理專家、瑞星卡卡都是有專業(yè)安全公司推出的安全工具，而IE衛(wèi)士和網(wǎng)頁(yè)木馬攔截器則是專業(yè)的網(wǎng)頁(yè)木馬攔截器。

　　金山清理專家

　　金山清理專家是金山毒霸推出的一款安全工具，在最新版本中新增加了一個(gè)網(wǎng)頁(yè)木馬攔截功能。成功安裝清理專家后點(diǎn)擊工具欄中的“網(wǎng)頁(yè)防掛馬”功能，由于該功能是利用插件的形式來(lái)操作的，因此首先要點(diǎn)擊“安裝并開(kāi)啟”按鈕來(lái)激活(圖1)。

　　目前該功能支持的瀏覽器包括IE瀏覽器，雖然程序聲稱可以支持Maxthon，但是在實(shí)際測(cè)試中并不支持Maxthon。

　　IE衛(wèi)士

　　IE衛(wèi)士是一款插件形式的網(wǎng)頁(yè)木馬攔截工具。雙擊“IE衛(wèi)士”安裝程序后，程序會(huì)自動(dòng)安裝到C:\Program Files\IEKavass目錄下，接著自動(dòng)注冊(cè)瀏覽器BHO到IE瀏覽器和Maxthon瀏覽器中(圖2)。

　　由于Windows 2003系統(tǒng)在默認(rèn)設(shè)置時(shí)不能自動(dòng)加載BHO，要點(diǎn)擊IE瀏覽器菜單下的“Internet選項(xiàng)”，在“高級(jí)”標(biāo)簽中選擇“啟用第三方瀏覽器擴(kuò)展”選項(xiàng)，然后再進(jìn)行插件的安裝運(yùn)行即可。

　　瑞星卡卡

　　瑞星卡卡是瑞星公司推出的一款反流氓軟件，獨(dú)創(chuàng)“IE防漏墻”功能模塊，可以在流氓軟件、木馬、病毒等試圖通過(guò)IE漏洞入侵計(jì)算機(jī)的時(shí)候進(jìn)行阻止。當(dāng)瑞星卡卡成功在系統(tǒng)安裝以后，“IE防漏墻”功能模塊就會(huì)自動(dòng)激活(圖3)。該功能目前只支持IE瀏覽，除此以外包括Maxthon在內(nèi)的瀏覽器都不支持。

　　網(wǎng)頁(yè)木馬攔截器

　　網(wǎng)頁(yè)木馬攔截器這款全新的安全工具，無(wú)論是網(wǎng)頁(yè)木馬還是捆綁文件，都可以進(jìn)行快速而有效的攔截。由于網(wǎng)頁(yè)木馬攔截器是一款綠色程序，因此當(dāng)我們運(yùn)行它以后只要點(diǎn)擊“開(kāi)始攔截”按鈕，就能夠成功的啟動(dòng)程序的攔截功能，并且最小化隱藏到系統(tǒng)任務(wù)欄(圖4)。該功能支持包括IE瀏覽器、Maxthon在內(nèi)的所有使用IE瀏覽器內(nèi)核的瀏覽器。

　　與網(wǎng)頁(yè)木馬現(xiàn)場(chǎng)過(guò)招

　　要測(cè)試這些網(wǎng)頁(yè)木馬攔截器是否真有用，就必須使用網(wǎng)頁(yè)木馬來(lái)進(jìn)行測(cè)試才行。今天我們測(cè)試使用的網(wǎng)頁(yè)木馬，分別利用MS-06014漏洞、MS-06014變種、ANI漏洞、以及最新的PPStream溢出漏洞創(chuàng)建，可以說(shuō)是涵蓋了老、中、新三代網(wǎng)頁(yè)木馬的典型。

　　金山清理專家簡(jiǎn)單易用

　　當(dāng)我們使用IE瀏覽器訪問(wèn)這些網(wǎng)頁(yè)木馬后，金山清理專家會(huì)在系統(tǒng)桌面的右下角彈出一個(gè)窗口，提示用戶瀏覽器在后臺(tái)下載了一個(gè)新文件，已經(jīng)阻止了該程序的運(yùn)行(圖5)。

　　點(diǎn)擊窗口中的“查看詳情”按鈕，可以了解更多的信息。當(dāng)清理專家在面對(duì)這4個(gè)不同的網(wǎng)頁(yè)木馬的時(shí)候(其中包括一個(gè)MS-06014網(wǎng)頁(yè)木馬的變種)，都能成功的進(jìn)行提示并攔截。由此證明金山清理專家的攔截能力還是非常突出的。但是金山清理專家有一個(gè)明顯的缺陷，就是不能讓用戶自己對(duì)下載可疑文件進(jìn)行選擇運(yùn)行或阻止的操作。

　　IE衛(wèi)士功能簡(jiǎn)單但實(shí)用

　　當(dāng)我們?cè)L問(wèn)這些漏洞的網(wǎng)頁(yè)木馬后，很快IE衛(wèi)士就彈出一個(gè)提示窗口(圖6)，告知用戶“瀏覽器試圖創(chuàng)建進(jìn)程，這是網(wǎng)頁(yè)木馬的典型行為，如果你感到意外，敬請(qǐng)攔截!”，同時(shí)會(huì)在程序路徑選項(xiàng)中顯示出可疑程序的路徑。

　　我們只要點(diǎn)擊“攔截(推薦)”按鈕，就可以成功的阻止該網(wǎng)頁(yè)木馬的操作。如果可以肯定該文件的合法性，可以選擇“將此程序添加到信任區(qū)，以后不在提示”選項(xiàng)，并且點(diǎn)擊“允許按鈕”即可。通過(guò)對(duì)這些網(wǎng)頁(yè)木馬的測(cè)試，發(fā)現(xiàn)IE衛(wèi)士可以很好的攔截所有的網(wǎng)頁(yè)木馬。

　　瑞星卡卡防漏不足

　　當(dāng)我們?cè)L問(wèn)網(wǎng)頁(yè)木馬后，瑞星卡卡的“IE防漏墻”功能，也會(huì)彈出一個(gè)相應(yīng)的提示窗口。提醒用戶瀏覽器試圖運(yùn)行下面的程序，并且提示用戶一些惡意程序的偽裝方式。點(diǎn)擊“阻止”按鈕就可以阻止文件的運(yùn)行，而點(diǎn)擊“允許”即可就會(huì)執(zhí)行該文件的運(yùn)行(圖7)。

　　對(duì)于普通生成的網(wǎng)頁(yè)木馬，IE防漏墻都可以成功的攔截�？墒钱�(dāng)我們?yōu)g覽網(wǎng)頁(yè)木馬的變種時(shí)，該網(wǎng)頁(yè)木馬就成功的進(jìn)行了運(yùn)行，這說(shuō)明IE防漏墻并沒(méi)有防止住這個(gè)漏洞。

　　為何不能夠發(fā)現(xiàn)變種的網(wǎng)頁(yè)木馬，我們對(duì)它進(jìn)行了分析。直接運(yùn)行木馬程序mm.exe，瑞星卡卡會(huì)警告。但若運(yùn)行command mm.exe就可以成功運(yùn)行木馬，但是瑞星卡卡卻沒(méi)有出現(xiàn)任何的警告信息。

　　從技術(shù)角度分析是因?yàn)槿鹦强�卡攔截的是CreateProcess之類的函數(shù)，并且它會(huì)放過(guò)經(jīng)過(guò)認(rèn)證的程序(諸如command等)，通過(guò)事實(shí)證明這是相當(dāng)危險(xiǎn)的設(shè)置。而其他程序攔截的卻是比它更底層的NTCreateProcess之類的函數(shù)，而且不會(huì)放過(guò)任何一個(gè)新進(jìn)程的創(chuàng)建，木馬要想繞過(guò)NTCreateProcess創(chuàng)建進(jìn)程從目前來(lái)看是不大可能的。

　　網(wǎng)頁(yè)木馬攔截器操作要求較高

　　現(xiàn)在我們測(cè)試網(wǎng)頁(yè)木馬攔截器，當(dāng)瀏覽器遇見(jiàn)網(wǎng)頁(yè)木馬的時(shí)候，程序?qū)⒆詣?dòng)的彈出操作界面。這時(shí)我們就可以在“進(jìn)程”標(biāo)簽中發(fā)現(xiàn)一個(gè)帶問(wèn)號(hào)的進(jìn)程(圖8)。

　　從狀態(tài)欄目里面可以看出該進(jìn)程“正在啟動(dòng)”，說(shuō)明在正在啟動(dòng)的時(shí)候就被攔截了，這時(shí)用戶可以根據(jù)自己的經(jīng)驗(yàn)來(lái)判斷該進(jìn)程的合法性。

　　當(dāng)用戶判斷出進(jìn)程的合法性以后，就可以通過(guò)右鍵菜單中的命令來(lái)操作。如果這個(gè)進(jìn)程是安全的話，那么點(diǎn)擊“信任進(jìn)程”按鈕就表示允許程序執(zhí)行，反之點(diǎn)擊“結(jié)束進(jìn)程”按鈕就表示禁止該進(jìn)程的運(yùn)行。

　　如果不想以后對(duì)同一個(gè)進(jìn)程再進(jìn)行判斷的話，那么可以通過(guò)右鍵菜單將其添加到白名單或黑名單中。如果被添加到黑名單中，那么以后該進(jìn)程運(yùn)行的時(shí)候，將被程序自動(dòng)的進(jìn)行攔截并記錄。

　　總結(jié)

　　現(xiàn)在各種各樣的網(wǎng)頁(yè)木馬層出不窮，因此一款性能良好的網(wǎng)頁(yè)木馬攔截工具可以極大地提高系統(tǒng)的安全系數(shù)。同時(shí)，因?yàn)樗鼈冏陨淼牟恍枰�病毒�?kù)，可以防范未知網(wǎng)頁(yè)木馬等特性，以后必將成為系統(tǒng)安全防范體系中的重要一員。

　　經(jīng)過(guò)我們的測(cè)試，我們認(rèn)為除了瑞星卡卡不能夠防范已有變種網(wǎng)頁(yè)木馬外，其他的3款軟件都能夠有效地防范網(wǎng)頁(yè)木馬。其中金山清理專家、IE衛(wèi)士、瑞星卡卡，都是將保護(hù)插件插入到瀏覽器進(jìn)程中，因此在運(yùn)行瀏覽器的時(shí)候就會(huì)自動(dòng)加載進(jìn)行保護(hù)，這對(duì)普通用戶是相當(dāng)有幫助的，而網(wǎng)頁(yè)木馬攔截器需要用戶專門運(yùn)行才可以進(jìn)行保護(hù)，在方便程度上要略遜一籌。

　　在兼容性方面，用戶只使用IE瀏覽器的話，選擇清理專家和IE衛(wèi)士都非常的不錯(cuò)。如果使用其他瀏覽器的話，那么網(wǎng)頁(yè)木馬攔截器和IE則是當(dāng)仁不讓的選擇。

　　另外由于三款攔截器都是插入到瀏覽器進(jìn)程的，所以不會(huì)被黑客程序所終止或卸載。而網(wǎng)頁(yè)木馬攔截器由于存在自己的進(jìn)程，可能會(huì)被惡意腳本所結(jié)束而失去作用。

　　在操作難度上，網(wǎng)頁(yè)木馬攔截器需要用戶能夠自己判斷進(jìn)程，這需要用戶具有一定的安全基礎(chǔ)才行，所以并不太適合初級(jí)用戶。金山清理專家和IE衛(wèi)士都是相當(dāng)簡(jiǎn)單的，并且效果不錯(cuò)，初級(jí)用戶的不二選擇。

　　特別聲明，金山清理專家和瑞星卡卡只是進(jìn)行了網(wǎng)頁(yè)木馬攔截功能的測(cè)試，該測(cè)試并不代表這兩款程序的綜合測(cè)試評(píng)比。

　　本文轉(zhuǎn)自：電腦報(bào)