ByShell 一个穿越主动防御的木马

　　《电脑报》提到了一个可以轻松穿越卡巴，瑞星，诺顿的主动防御功能的免杀木马：byshell。于是在网上搜，搜到byshell推广版的说明是：可以穿越卡巴瑞星诺顿的默认设置主动防御。我就下了个推广版回来试下微点能不能防，生成服务端后一运行，微点没有让人失望，立刻报告说发现未知监控软件。本来还想试下远程监控看看微点会不会提示有可疑程序访问网络之类的，因为在单位上班，还是放弃了念头。

　　BYshell的说明里说，高级版采用新内核驱动，可以轻松穿透 ZA 6/7版，麦咖啡安全套装，麦咖啡8.5i 标准版，KIS 6 卡巴安全套装(包括交互模式)，诺顿安全套装2007，瑞星2007，小红伞和趋势2006 这些杀软的高级别安全设置。不过里面没提到微点，估计作者还没把微点列入考虑范围，如果微点的工程师有兴趣不妨弄个高级版来研究下，看看是否真的那么牛X。如果真能穿越这一大排知名杀软却被微点轻松拿下那就开心了。

　　如何清除能突破主动防御的木马

　　病人：我使用的杀毒软件有主动防御功能，能拦截木马，可最近我的邮箱账号还是被盗了，为什么会这样?

　　医生：这个其实也是很正常的，毕竟没有一款杀毒软件是万能的，能够阻止目前所有的恶意程序。你的电子信箱被盗很可能是被那种能突破主动防御木马，例如最新的ByShell木马。这是一类新型木马，其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。

　　利用SSDT绕过主动防御

　　病人：像ByShell这样的木马，它们是如何突破主动防御的呢?

　　医生：最早黑客通过将系统日期更改到较早前的日期，这样杀毒软件就会自动关闭所有监控功能，当然主动防御功能也就自动失去了防控能力。现在已经有很多木马不需要调整系统时间就可以成功突破主动防御功能了。