解读简单五步干掉内核级木马程序Byshell

导读：对于内核级木马，我们知道，其具有很强的生命力，因为他可以绕过安全软件的主动防御功能，这就有点让一般个人电脑用户无法及时发现，那么它的原理是如何的，又怎么清除呢？本文为你一一解读。
 
Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序（Backdoor）。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。 
黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的机器。当Byshell被安装在一台远程计算机上后，黑客就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。 

Byshell是怎样绕过主动防御的

Byshell利用Rootkit技术，可以绕过严格的防火墙或者边界路由器访问控制，无论从内网或者外网的被控端，都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程序的机器都不能看到该后门使用的连接。 

同时，它没有自己的独立进程，也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接，可以绕过防火墙的应用程序访问网络地址。在注册表中找不到由它建立的启动项，无任何RUN键值，避免了被Msconfig之类程序检测到。ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效。 

简单五步干掉Byshell 

1．安装一个具备进程管理功能的安全工具软件，查看系统进程，可以看到很多被明显标识出的进程。这些进程都是可疑进程，很有可能有些进程已被植入木马病毒。点击其中的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。  

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点