» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 预升级反馈专区 » 微点可防内核级Byshell木马吗？   作者: 标题: 微点可防内核级Byshell木马吗？ zen 新手上路 积分 22 发帖 22 注册 2006-11-3 #1  微点可防内核级Byshell木马吗？ http://pfw.sky.net.cn/article/5385.html Ｂｙｓｈｅｌｌ是内核级的木马程序，有很强的隐蔽性和杀伤力。 　　Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序（Backdoor）。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。 　　黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的机器。当Byshell被安装在一台远程计算机上后，黑客就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。 　　如何绕过主动防御 　　Byshell利用Rootkit技术，可以绕过严格的防火墙或者边界路由器访问控制，无论从内网或者外网的被控端，都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程序的机器都不能看到该后门使用的连接。 　　同时，它没有自己的独立进程，也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接，可以绕过防火墙的应用程序访问网络限制。在注册表中找不到由它建立的启动项，无任何RUN键值，避免了被Msconfig之类程序检测到。ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效。 微点可防内核级Byshell木马吗？ ※ ※ ※ 本文纯属【zen】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-29 20:34 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   如果你在试用微点出现任何可疑程序微点拦截不成功 请立即和我们联系。谢谢 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-1-29 20:46 chenrui19930 注册用户 积分 149 发帖 147 注册 2007-12-9 #3   呵呵,已经上报了 ※ ※ ※ 本文纯属【chenrui19930】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-29 21:43 zen 新手上路 积分 22 发帖 22 注册 2006-11-3 #4     Quote: Originally posted by Legend at 2008-1-29 20:46: 如果你在试用微点出现任何可疑程序微点拦截不成功 请立即和我们联系。谢谢 我还没有发现，再说这种木马很难人工发现啊， 希望微点能检测出来 ※ ※ ※ 本文纯属【zen】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-29 21:49 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号