谁是克星?4款网页木马拦截工具大比武
2007-09-11 13:09:26 来源:WEB开发网对于普通生成的网页木马,IE防漏墙都可以成功的拦截。可是当我们浏览网页木马的变种时,该网页木马就成功的进行了运行,这说明IE防漏墙并没有防止住这个漏洞。
为何不能够发现变种的网页木马,我们对它进行了分析。直接运行木马程序mm.exe,瑞星卡卡会警告。但若运行command mm.exe就可以成功运行木马,但是瑞星卡卡却没有出现任何的警告信息。
从技术角度分析是因为瑞星卡卡拦截的是CreateProcess之类的函数,并且它会放过经过认证的程序(诸如command等),通过事实证明这是相当危险的设置。而其他程序拦截的却是比它更底层的NTCreateProcess之类的函数,而且不会放过任何一个新进程的创建,木马要想绕过NTCreateProcess创建进程从目前来看是不大可能的。
网页木马拦截器操作要求较高
现在我们测试网页木马拦截器,当浏览器遇见网页木马的时候,程序将自动的弹出操作界面。这时我们就可以在“进程”标签中发现一个带问号的进程。
从状态栏目里面可以看出该进程“正在启动”,说明在正在启动的时候就被拦截了,这时用户可以根据自己的经验来判断该进程的合法性。
当用户判断出进程的合法性以后,就可以通过右键菜单中的命令来操作。如果这个进程是安全的话,那么点击“信任进程”按钮就表示允许程序执行,反之点击“结束进程”按钮就表示禁止该进程的运行。
如果不想以后对同一个进程再进行判断的话,那么可以通过右键菜单将其添加到白名单或黑名单中。如果被添加到黑名单中,那么以后该进程运行的时候,将被程序自动的进行拦截并记录。
总结
现在各种各样的网页木马层出不穷,因此一款性能良好的网页木马拦截工具可以极大地提高系统的安全系数。同时,因为它们自身的不需要病毒库,可以防范未知网页木马等特性,以后必将成为系统安全防范体系中的重要一员。
经过我们的测试,我们认为除了瑞星卡卡不能够防范已有变种网页木马外,其他的3款软件都能够有效地防范网页木马。其中金山清理专家、IE卫士、瑞星卡卡,都是将保护插件插入到浏览器进程中,因此在运行浏览器的时候就会自动加载进行保护,这对普通用户是相当有帮助的,而网页木马拦截器需要用户专门运行才可以进行保护,在方便程度上要略逊一筹。
在兼容性方面,用户只使用IE浏览器的话,选择清理专家和IE卫士都非常的不错。如果使用其他浏览器的话,那么网页木马拦截器和IE则是当仁不让的选择。
另外由于三款拦截器都是插入到浏览器进程的,所以不会被黑客程序所终止或卸载。而网页木马拦截器由于存在自己的进程,可能会被恶意脚本所结束而失去作用。
在操作难度上,网页木马拦截器需要用户能够自己判断进程,这需要用户具有一定的安全基础才行,所以并不太适合初级用户。金山清理专家和IE卫士都是相当简单的,并且效果不错,初级用户的不二选择。
特别声明,金山清理专家和瑞星卡卡只是进行了网页木马拦截功能的测试,该测试并不代表这两款程序的综合测试评比。
更多精彩
赞助商链接