五步清除顽固型内核级木马

　Byshell是个无进程、无DLL、无启动项的、集多种Rootkit技术特征的单独功能远程控制后门程式(Backdoor)。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文档和启动项，关机时恢复。他是内核级的木马程式，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。
黑客通常用Byshell木马程式远程控制安装了Windows NT/2000/XP/2003操作系统的机器。当Byshell被安装在一台远程电脑上后，黑客就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。

怎样绕过主动防御

Byshell利用Rootkit技术，能够绕过严格的防火墙或边界路由器访问控制，无论从内网或外网的被控端，都能够轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程式的机器都不能看到该后门使用的连接。

同时，他没有自己的单独进程，也不会在任务管理器或绝大部分第三方进程管理工具中出现新进程。他使用一个隐藏的iexplore.exe进行对外连接，能够绕过防火墙的应用程式访问网络地址。在注册表中很难找到由他建立的启动项，无任何RUN键值，避免了被Msconfig之类程式检测到。

ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程式则又能够按照正常的顺序来执行，这样就最终让主动防御功能完全的失效。

五步清除Byshell

1.安装一个具备进程管理功能的安全工具软件，查看系统进程，能够看到很多被明显标识出的进程。这些进程都是可疑进程，很有可能有些进程已被植入木马病毒。点击其中的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。

2.找出来该安全工具软件中和服务管理相关的选项，同样能够看到多个被明显标识出的系统服务，说明这些服务都不是系统自身的服务。经过查看发现一个名为Hack的服务较为可疑，因为他的名称和木马模块的名称相同。

3.找出工具软件中和文档管理相关的标签，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文档hack.dll，和此同时还发现一个和模块文档同名的可执行文档，看来这个木马主要还是由这两个文档组成的。

4.现在我们就开始进行木马的清除工作。在进程管理选项中首先找到被明显标识的IE浏览器进程，选中他后通过鼠标右键中的“结束这个进程”命令清除他。接着点击服务管理选项，选择名为Hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。

再选择程式中

的文档管理选项，对木马文档进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文档后，点击右键菜单中的“直接删除文档”命令，完成对木马的最后一击。然后重新启动系统再进行查看，确认木马是否被清除干净。

5.由于木马程式破坏了杀毒软件在SSDT表中的内容，因此大家最好利用软件自带的主动修复功能来进行修复，或重新将杀毒软件安装一次即可。

以前木马种植前，黑客最重要的工作就是对其进行免杀操作，这样就可躲过杀毒软件的特征码检测。现在ByShell已有木马能够突破主动防御，以后这类木马也会越来越多，因此大家一定要加强自己的安全意识。