在測(cè)試前還有一個(gè)問(wèn)題需要解決,那就是�����,由于此木馬卡巴斯基已經(jīng)可以查殺�,運(yùn)行此木馬時(shí)����,卡巴斯基會(huì)檢測(cè)到并將它刪掉��,所以要想無(wú)障礙地運(yùn)行還需要對(duì)此樣本文件做一些免殺處理�����。做免殺筆者還沒(méi)這個(gè)能耐�,不過(guò)筆者有黑客朋友會(huì)做免殺����。經(jīng)過(guò)朋友的一番折騰,樣本真的不能被卡巴斯基7.0查到了�。有了免殺樣本那就閑話少說(shuō),開(kāi)始測(cè)試?��?���!首先需要讓木馬完全跑起來(lái)看看行為����。關(guān)閉卡巴斯基2010,雙擊樣本運(yùn)行后,桌面的樣本不見(jiàn)了�����,原來(lái)它在感染計(jì)算機(jī)后����,會(huì)自動(dòng)刪除自身。除此之外��,計(jì)算機(jī)表面并沒(méi)有任何異樣�����。但事實(shí)上該木馬已經(jīng)感染了計(jì)算機(jī)���。首先��,我們打開(kāi)系統(tǒng)的system32文件夾下�����,可以看到木馬釋放的文件����,名稱(chēng)為:xttp6J11x.exe 如下圖所示:
另外,此木馬還創(chuàng)建了一些注冊(cè)表項(xiàng)��,如下圖所示:
我們使用Sysinternals出品的網(wǎng)絡(luò)連接查看工具TCPView檢查一下目前計(jì)算機(jī)的聯(lián)網(wǎng)情況��。不看不知道��,一看真的嚇一跳����,很明顯,該木馬已經(jīng)同遠(yuǎn)程主機(jī)建立起連接��,正在偷偷進(jìn)行通訊����。如下圖所示:
看來(lái)這種木馬威力還不小����。以上測(cè)試是在沒(méi)有使用卡巴斯基2010安全免疫區(qū)的情況下運(yùn)行木馬后,計(jì)算機(jī)上的一些變化�。
現(xiàn)在,我們將虛擬機(jī)恢復(fù)到未感染木馬的狀態(tài)下進(jìn)行新的測(cè)試����。這次打開(kāi)卡巴斯基2010��。按理來(lái)說(shuō)���,這個(gè)樣本對(duì)于卡巴斯基7.0已經(jīng)是免殺的了,卡巴斯基應(yīng)該是不能通過(guò)特征碼比對(duì)檢測(cè)到此木馬的��。所以筆者試著用卡巴斯基掃描一下該木馬���,感覺(jué)也不應(yīng)該會(huì)被檢測(cè)到��,然而卻發(fā)生了令筆者意想不到的事情:
卡巴斯基竟然報(bào)警了�����。原來(lái)雖然卡巴斯基沒(méi)有通過(guò)特征碼檢測(cè)到該木馬��,但卡巴斯基的啟發(fā)式掃描引擎還是發(fā)現(xiàn)該文件是個(gè)木馬程序���。這里不得不稱(chēng)贊一下卡巴斯基的啟發(fā)式掃描,效果還是非常好的����。
沒(méi)辦法,看來(lái)要想運(yùn)行此木馬����,我們只有關(guān)閉卡巴斯基2010的實(shí)時(shí)保護(hù)了�����,否則不用運(yùn)行��,只要一點(diǎn)擊文件�����,卡巴斯基就會(huì)報(bào)警然后將文件刪除掉�����。之后就是在安全免疫區(qū)中運(yùn)行木馬了。我們將木馬樣本添加到卡巴斯基的安全免疫區(qū)中���,然后運(yùn)行�。具體操作就是在卡巴斯基的安全免疫區(qū)中點(diǎn)擊添加�����,然后瀏覽找到該木馬�����,添加即可。如下圖所示:
運(yùn)行樣本后��,桌面樣本沒(méi)有消失�����,而且也沒(méi)有其他異樣情況發(fā)生��。那么到底有效果沒(méi)有呢�����?我們看一下系統(tǒng)的system32目錄下����,是否有木馬釋放的文件,如下:
我們非常欣慰的看到���,這次沒(méi)有了木馬釋放的xttp6J11x.exe文件的蹤跡����??磥?lái)��,木馬應(yīng)該是沒(méi)有感染到計(jì)算機(jī)����。為了進(jìn)一步證明���,我們?cè)俅蜷_(kāi)注冊(cè)表看一下:
可以看到����,木馬這次沒(méi)有能夠創(chuàng)建注冊(cè)表項(xiàng)�����。最后���,我們?cè)賮?lái)看一下TCPView的顯示結(jié)果是否也正常���。如下圖所示:
很明顯�,網(wǎng)絡(luò)連接里面也沒(méi)有了木馬遠(yuǎn)程連接的蹤影,再一次證明了木馬沒(méi)有感染計(jì)算機(jī)����。那木馬運(yùn)行后到底怎樣了呢����?我們打開(kāi)卡巴斯基安全免疫區(qū)共享文件夾�����,發(fā)現(xiàn)原來(lái)其釋放的文件被困在這里�����,不會(huì)對(duì)系統(tǒng)產(chǎn)生危害����。如下圖所示: 
經(jīng)過(guò)上述測(cè)試表明,卡巴斯基2010的安全免疫區(qū)的確可以避免病毒���、木馬等惡意程序的突破�����,保護(hù)計(jì)算機(jī)系統(tǒng)本身的安全��。在安全免疫區(qū)中運(yùn)行的程序被進(jìn)行了限制�,它所做的操作不會(huì)對(duì)安全免疫區(qū)以外的正常系統(tǒng)造成任何影響。
筆者認(rèn)為�,此功能十分實(shí)用,尤其是在遇到來(lái)歷不明�,安全性未知的程序時(shí),我們大可以將這些程序在卡巴斯基的安全免疫區(qū)內(nèi)運(yùn)行���。這樣����,即使是最新的反病毒軟件無(wú)法查殺到的病毒�、木馬,也不會(huì)對(duì)我們產(chǎn)生危害����。如果用戶能夠經(jīng)常使用此功能,感染病毒的幾率應(yīng)該會(huì)小很多��。
